openssl to jest RAK. Co za gówno i nerwy. CLI ma chyba ciupaską wykrzesane, jedno z rodziny gówien jak find. Dokumentacja kiedyś była, ale weszła wersja 1.1 i teraz jest wszystko inaczej, a na oficjalnej stronie dokumentacja tyczy się API C, a nie command line'a. Większość przykładów w sieci jest sprzed 6 lat, a do tego każde wywołanie jakie widzę jest inne. Połowa przykładów na kluczach PAM, druga CSR, część na plikach konfiguracyjnych, część na one-linerach. Jakiś walidator niby jest, ale zawsze jest mu ok i nie dowiesz się, czy działa dopóki nie wrzucisz na produkcję i nie sprawdzisz z kilku klientów czy działa. Krew mnie zalewa.
Ktoś ma trick na sprostanie takim prostym założeniom? 1. Potrzebuję certów SSL do https (KEY+CRT). 2. bez let'sencrypt i certbota (już próbowałem, nie che być skazanym na wystawianie sieci na zewnątrz, obecnie mam dostęp z zewnątrz, ale nie potrzebuję i prędzej czy później zamknę ten bajzel) 3. jeden self-signed root CA, może być od nowa wygenerowany 4. mam 4 domeny lokalne (1 stoi na hoście, 3 pozostałe stoją na dockerach), które chcę schować za https przy pomocy reverse proxy na #nginx #debian, każda domena kończy się na "*.costam.local" 5. Nie chcę użyć wildcard'a, tylko SAN (subject alternative name) 6. chcę, żeby wygenerowane certy były rozsądnie bezpieczne 7. Mirek pomuszz, bo już tracę wiarę
opensslto jest RAK. Co za gówno i nerwy. CLI ma chyba ciupaską wykrzesane, jedno z rodziny gówien jakfind. Dokumentacja kiedyś była, ale weszła wersja 1.1 i teraz jest wszystko inaczej, a na oficjalnej stronie dokumentacja tyczy się API C, a nie command line'a. Większość przykładów w sieci jest sprzed 6 lat, a do tego każde wywołanie jakie widzę jest inne. Połowa przykładów na kluczach PAM, druga CSR, część na plikach konfiguracyjnych, część na one-linerach. Jakiś walidator niby jest, ale zawsze jest mu ok i nie dowiesz się, czy działa dopóki nie wrzucisz na produkcję i nie sprawdzisz z kilku klientów czy działa. Krew mnie zalewa.Ktoś ma trick na sprostanie takim prostym założeniom?
1. Potrzebuję certów SSL do https (KEY+CRT).
2. bez let'sencrypt i certbota (już próbowałem, nie che być skazanym na wystawianie sieci na zewnątrz, obecnie mam dostęp z zewnątrz, ale nie potrzebuję i prędzej czy później zamknę ten bajzel)
3. jeden self-signed root CA, może być od nowa wygenerowany
4. mam 4 domeny lokalne (1 stoi na hoście, 3 pozostałe stoją na dockerach), które chcę schować za https przy pomocy reverse proxy na #nginx #debian, każda domena kończy się na "*.costam.local"
5. Nie chcę użyć wildcard'a, tylko SAN (subject alternative name)
6. chcę, żeby wygenerowane certy były rozsądnie bezpieczne
7. Mirek pomuszz, bo już tracę wiarę
Będę wdzięczny za podpowiedź
#linux #devopsreactions
Nie jest
Używam regularnie w pracy, więc wiem.