openssl to jest RAK. Co za gówno i nerwy. CLI ma chyba ciupaską wykrzesane, jedno z rodziny gówien jak find. Dokumentacja kiedyś była, ale weszła wersja 1.1 i teraz jest wszystko inaczej, a na oficjalnej stronie dokumentacja tyczy się API C, a nie command line'a. Większość przykładów w sieci jest sprzed 6 lat, a do tego każde wywołanie jakie widzę jest inne. Połowa przykładów na kluczach PAM, druga CSR, część na plikach konfiguracyjnych, część na one-linerach. Jakiś walidator niby jest, ale zawsze jest mu ok i nie dowiesz się, czy działa dopóki nie wrzucisz na produkcję i nie sprawdzisz z kilku klientów czy działa. Krew mnie zalewa.
Ktoś ma trick na sprostanie takim prostym założeniom? 1. Potrzebuję certów SSL do https (KEY+CRT). 2. bez let'sencrypt i certbota (już próbowałem, nie che być skazanym na wystawianie sieci na zewnątrz, obecnie mam dostęp z zewnątrz, ale nie potrzebuję i prędzej czy później zamknę ten bajzel) 3. jeden self-signed root CA, może być od nowa wygenerowany 4. mam 4 domeny lokalne (1 stoi na hoście, 3 pozostałe stoją na dockerach), które chcę schować za https przy pomocy reverse proxy na #nginx #debian, każda domena kończy się na "*.costam.local" 5. Nie chcę użyć wildcard'a, tylko SAN (subject alternative name) 6. chcę, żeby wygenerowane certy były rozsądnie bezpieczne 7. Mirek pomuszz, bo już tracę wiarę
openssl
to jest RAK. Co za gówno i nerwy. CLI ma chyba ciupaską wykrzesane, jedno z rodziny gówien jakfind
. Dokumentacja kiedyś była, ale weszła wersja 1.1 i teraz jest wszystko inaczej, a na oficjalnej stronie dokumentacja tyczy się API C, a nie command line'a. Większość przykładów w sieci jest sprzed 6 lat, a do tego każde wywołanie jakie widzę jest inne. Połowa przykładów na kluczach PAM, druga CSR, część na plikach konfiguracyjnych, część na one-linerach. Jakiś walidator niby jest, ale zawsze jest mu ok i nie dowiesz się, czy działa dopóki nie wrzucisz na produkcję i nie sprawdzisz z kilku klientów czy działa. Krew mnie zalewa.Ktoś ma trick na sprostanie takim prostym założeniom?
1. Potrzebuję certów SSL do https (KEY+CRT).
2. bez let'sencrypt i certbota (już próbowałem, nie che być skazanym na wystawianie sieci na zewnątrz, obecnie mam dostęp z zewnątrz, ale nie potrzebuję i prędzej czy później zamknę ten bajzel)
3. jeden self-signed root CA, może być od nowa wygenerowany
4. mam 4 domeny lokalne (1 stoi na hoście, 3 pozostałe stoją na dockerach), które chcę schować za https przy pomocy reverse proxy na #nginx #debian, każda domena kończy się na "*.costam.local"
5. Nie chcę użyć wildcard'a, tylko SAN (subject alternative name)
6. chcę, żeby wygenerowane certy były rozsądnie bezpieczne
7. Mirek pomuszz, bo już tracę wiarę
Będę wdzięczny za podpowiedź
#linux #devopsreactions
Nie jest
Używam regularnie w pracy, więc wiem.