Cómo obtener un certificado de Let's Encrypt para el servidor que no permite la creación de archivos

Navega tus respuestas
1

Estoy utilizando un certificado SSL firmado por Verisign para mi servidor VPN que está alojado en la red pública y los empleados de mi empresa utilizan para conectarse a la red de la empresa a través de este servidor.
El sistema solía estar en línea 24 * 7 y será difícil tomar un tiempo de inactividad.

En mi servidor VPN, no tengo permiso para crear o modificar los archivos web (o en palabras simples, solo tengo la GUI de esa máquina y desde la GUI, solo puedo cargar el archivo de certificado como .pem o certificado cadena sobre el servidor).

Ahora, estoy pensando en obtener el certificado del servidor Let's Encrypt (por la razón obvia de ahorrar algunos dólares).

Tengo algunas dudas en mi mente como -

  1. ¿Debo ir a Let's Encrypt o no?
  2. ¿Es seguro tener un certificado de Let's Encrypt?
  3. La pregunta más importante , había pasado por el procedimiento para obtener un certificado de Let's Encrypt; Lo que entiendo es que tengo que instalar la herramienta ACME o algunos scripts que harán los trabajos automáticamente por mí.
    Ahora, tengo la limitación de que mi caja VPN no me permite instalar nada, aparte de algunos códigos específicos (generalmente parches) proporcionados por el OEM.
    Además, en el procedimiento, se mencionó que ACME (u otros scripts similares) creará un archivo temporal con algún texto de basura para verificar la propiedad del dominio mediante el programa Let's Encrypt. Mi servidor no tiene estas capacidades.

¿Qué debo hacer para obtener el certificado SSL de Let's Encrypt?

    
pregunta Gaurav Kansal 25.10.2016 - 10:46
fuente

2 respuestas

2

Let's Encrypt está optimizado para el uso automatizado . Existen interfaces web y herramientas de línea de comandos que puede utilizar de forma manual para validar y obtener los archivos de certificado .pem . Sin embargo, esto es inconveniente, y los certificados de Encrypt caducan después de 3 meses .

Sin embargo, muchos registradores (es decir, NameCheap solo por nombrar uno) ofrecen certificados DV por $ 10 (USD) por año . Está optimizado para la instalación manual de certificados y le permitirá renovar una vez cada 3 años en lugar de cada 12 semanas.

En el peor de los casos, usted gasta $ 10 para ahorrar de 1 a 2 horas de trabajo y seguimiento cada año. En el mejor de los casos, se ahorra tiempo de inactividad accidental.

  

¿Es seguro tener un certificado de Let's Encrypt?

Sí. Citando a @Simone Carletti: "Let's Encrypt es una Autoridad de Certificación, y tienen más o menos los mismos privilegios y poder de cualquier otra autoridad de certificación existente (y más grande) en el mercado."

Hipotéticamente, si una CA está comprometida, el atacante puede firmar certificados para cualquier dominio.

  • Sus visitantes podrían estar sujetos a MiTM de este atacante en particular. Esto se mitiga parcialmente si usó Fijación de clave pública . En cualquier caso, no importa si usó la CA comprometida o no . Los navegadores confían en todas las CA por igual.

  • Una vez descubierta la violación, muchos navegadores dejarán de confiar en la CA comprometida. Para esos navegadores, solo si estuviera utilizando la CA comprometida , su sitio dejaría de funcionar, nada más. Cambiaría a otra CA para restaurar el servicio.

La clave privada y el proceso DV pueden protegerse completamente incluso con este ataque cibernético más sofisticado. (excepto el DoS que no es relevante aquí) Sería raro que una CA exponga accidentalmente una vulnerabilidad que permita que tal ataque tenga éxito . El punto de falla más probable es que los humanos trabajen en la empresa, por lo que una buena estructura organizativa en la AC también es importante.

  

Pasé por el procedimiento para obtener un certificado de Let's Encrypt; Lo que entiendo es que tengo que instalar la herramienta ACME o algunos scripts que harán los trabajos automáticamente por mí.

Para eso está optimizado, pero hay soluciones manuales.

  

ACME (u otros scripts similares) creará un archivo temporal con algo de texto basura para verificar la propiedad del dominio mediante el programa Let's Encrypt. Mi servidor no tiene estas capacidades.

No lo llamaría basura jajaja! Pero sí, este token aleatorio se llama validación HTTP de una solicitud de certificado, y así es como funciona el sistema ACME.

Let's Encrypt podría ofrecer una manera de usar la validación de DNS, en cuyo caso el token aleatorio se coloca en un registro TXT .

Sin embargo, las CA tradicionales (revendidas por $ 10 / año) ofrecen validación por correo electrónico. Esto es lo que suelo usar y es el más fácil de abordar. El token aleatorio se incluye en un enlace en el correo electrónico, por lo que es bastante fácil de usar.

    
respondido por el George Bailey 27.10.2016 - 17:47
fuente
3
  

¿Debo ir a Let's Encrypt o no?

Usted puede, si está dispuesto a cambiarlo manualmente cada 3 meses. Pero entonces, es gratis, entonces ¿por qué no? Ahorrarás mucho dinero.

  

¿Es seguro tener un certificado de Let's Encrypt?

Bueno, tienen un registro bastante limpio, hasta ahora. Puede consultar el enlace para eso. Sugeriría que son bastante seguros.

  

¿Qué debo hacer para obtener el certificado SSL de Let's Encrypt?

Ya que no puede obtener un tiempo de inactividad y desea utilizar el certificado emitido Let's Encrypt. Puede hacer lo siguiente para obtener el certificado:

  • Necesitaría acceso al archivo de zona de su dominio, Suponiendo que tendría eso.
  • Descargue la secuencia de comandos de ACME, proporcione la información de CSR a la secuencia de comandos, use link
  • Use el Modo de uso de DNS de la secuencia de comandos. Le pedirá que realice un registro DNS de texto.
  • Tendrás los archivos PEM contigo, subirlos al servidor VPN y eso es todo.

Actualización:

O Alternativamente, puedes hacerlo de dos maneras más:

  • En lugar de " Usar modo DNS " puede usar "Usar servidor independiente para emitir cert"
  • En este modo, Let's encrypt intentaría llegar a su servidor en el puerto 80.
  • Cada vez que cualquier cosa intente comunicarse con el servidor VPN en el puerto 80, puede asignarlo a otra IP que cumpla con los requisitos. O puede buscar la fuente de permite cifrar y DNAT siempre que la fuente sea permite cifrar (por supuesto, necesitará un cortafuegos entre ellos para lograrlo)

Espero que esto ayude!

    
respondido por el Anirudh Malhotra 25.10.2016 - 11:28
fuente

Lea otras preguntas en las etiquetas

¿Manera segura de distribuir y verificar las claves públicas de OpenPGP? ¿Cuáles son las formas posibles de explotar una página de inicio de sesión? [cerrado]