12 минут назад, rm_ сказал:

Серьёзно? Массово, клиентов обычного провайдера? И потом получить полоскание вашего бренда на хабрах, тостерах и роем за "Началось -- дерпотелеком-Волга навязывает свой сертификат в доверенные Чтобы Митмовать Интернет"?

Теоретически, 'Name Constraints' можно в CA сертификате поставить, что оно только для конкретного домена, а не на весь Интернет. Правда, от полоскания это не очень поможет.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

rm_ 

Моё дело - предложить техническое решение. Расписывать его слабые стороны мне было просто лень. Они очевидны.

 

И если уж говорить про серьёзность, то насколько серьёзны для этого самого обычного провайдера затраты, скажем, в 15 т.р. в год на wildcard-сертификат? А можно взять и на 2 года за какие-нить 25 (чтобы реже менять их в устройствах). А с нового года Let's Encrypt их обещает, как водится, бесплатно и автоматизированно...

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
23 минуты назад, Черномазов сказал:

rm_

И если уж говорить про серьёзность, то насколько серьёзны для этого самого обычного провайдера затраты, скажем, в 15 т.р. в год на wildcard-сертификат? А можно взять и на 2 года за какие-нить 25 (чтобы реже менять их в устройствах). А с нового года Let's Encrypt их обещает, как водится, бесплатно и автоматизированно...

 Вот про бесплатно и автоматично - ссылку не скинете ? Ибо держать в голове еще и геморрой про не забыть продлить сертификаты, таких геморроев и без того много, а напоминалок как правило нету. А продлять ежегодно и в разные времена много чего приходится, домены, as, эцп и т.п.  Насчёт затрат - не люблю переплачивать за не очень критичный функционал. Нетап вроде сертификат для своего эквайринга даёт бесплатно, и модуль эквайринга тоже вроде бесплатно, но - нужен модуль интеграции с биллинговыми системами (явно не бесплатный)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
В 10/2/2017 в 20:07, LostSoul сказал:

можно в собственном CA , но тогда его корневой сертификат придется один раз установить на всех своих устройствах

 

Я делал бы именно так

 

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
43 минуты назад, YuryD сказал:

 Вот про бесплатно и автоматично - ссылку не скинете ?

Так https://letsencrypt.org/getting-started/

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
2 минуты назад, Черномазов сказал:

 Читал, нихрена не понял...  Мне нужен валидный сертификат, а тут какая-то байда для чайников... Я простого хочу - управлять своим. Я хочу запросить и получить валидный сертификат вручную. Понимая риски конечно.  Тут мне предлагают байду неизвестного происхождения...

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
2 минуты назад, YuryD сказал:

Я простого хочу - управлять своим. Я хочу запросить и получить валидный сертификат вручную.

Так вручную или "автоматично... Ибо держать в голове еще и геморрой про не забыть продлить сертификаты"?

 

4 минуты назад, YuryD сказал:

Тут мне предлагают байду неизвестного происхождения...

Предлагают сервис автоматического или автоматизированного получения этих самых "валидных сертификатов" (про цепочки сертификатов - https://letsencrypt.org/certificates/). Предлагают и клиентов, выполняющие эти операции автоматически: https://letsencrypt.org/docs/client-options/

Да, не волшебная пилюля, но других нет.

 

6 минут назад, YuryD сказал:

Понимая риски конечно.

Какие-такие риски?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
16 минут назад, Черномазов сказал:

Какие-такие риски?

 Ваш сслсертификат ушёл в зал :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

YuryD 

Опасность в утечке закрытого ключа, а не самого сертификата. Это надо смотреть, да.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
5 минут назад, Черномазов сказал:

YuryD 

Опасность в утечке закрытого ключа, а не самого сертификата. Это надо смотреть, да.

 Мне его выдало ООО зхчто, точнее оно его как-то получило. Я должен верить всем центрам ?

 

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Только что, YuryD сказал:

Мне его выдало ООО зхчто, точнее оно его как-то получило. Я должен верить всем центрам ?

По факту, корневые ЦС у них - IdenTrust. Эти ЦС входят в число доверенных корневых ЦС для многих ОС и браузеров. Т.е. вы им уже доверяете.

Это вполне легко проверяется по цепочке ЦС в сертификате.

Где проблема?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
В 06.10.2017 в 16:50, YuryD сказал:

нужен модуль интеграции с биллинговыми системами (явно не бесплатный)

Их модуль интеграции - это совсем не то что стоит покупать.

Как впрочем и весь биллинг.

Основное назначение UTM5 - это как топор, в сказке "Каша из топора".

Просто чтоб чего-то поставить и с чего-то начать работать.

Весь остальной функционал потом по человечески переписывается самостоятельно  ( поэтапно )

От netup остается только админка для редко используемых кейсов.

Все остальное реализуется через под себя написанные доделки.

И уж точно бессмысленно покупать "модуль интеграции" , примеров готовых скриптов по приему платежей вагон.

Бесплатное открытое php API к нетап  - на гитхабе.

P.S.  Эксплуатировал и дописывал-переписывал множество обьектов с utm5 , а один даже с netup tv.

 

 

 

По теме ветки -  с скольких компов предполагается лазить на перечисленные устройства?

 

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

LostSoul 

В самом деле, зря вы на нетап нагоняете. Если использовать просто как биллинг+радиус сервер, то свои задачи он решает и очень неплохо. DCHP-сервер у них говно, ЛК некрасивый конечно, но кроме функции оплаты абоненту Интернет в ЛК ничего и не надо. 

Готовые модули интеграции выйдут дешевле, если в штате или под рукой нет программиста/админа с опытом программирования, чтобы прикрутить, что-то найденное на форумах

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
19 минут назад, s.lobanov сказал:

В самом деле, зря вы на нетап нагоняете. Если использовать просто как биллинг+радиус сервер, то свои задачи он решает и очень неплохо. DCHP-сервер у них говно, ЛК некрасивый конечно, но кроме функции оплаты абоненту Интернет в ЛК ничего и не надо. 

Готовые модули интеграции выйдут дешевле, если в штате или под рукой нет программиста/админа с опытом программирования, чтобы прикрутить, что-то найденное на форумах

Сергей вы ведь шутите, да?

Цитата с страницы прайса НетАп http://www.netup.ru/UTM5/pricelist.php

Лицензия на интеграцию с ОДНОЙ(каждой) платежной системой     15 000 руб.

Я вот счас уточню, cgi-скрипт на чем угодно от php до bash , который по приходу уведомления от платежной системы:

1) одной командой проверит подпись

2) второй командой проверит уникальность платежа в таблице

3) третьей командой запустит utm5_payment_tool

4) четвертой командой напишет админу если в результате пункта 3 вернулся плохой код ошибки.

 

Вы правда считаете что вот эта ерунда стоит 15 тысяч, помноженное на число платежных систем?

Причем ладно бы оно было у нетапа нормально написано, но ведь там жуть и мрак.

 

Никакого большого опыта программирования тут не нужно - хватает базовых знаний любого среднего админа.

А без админа не обойтись всё равно, так как модуль надо не только купить но и установить для него все зависимости, провести настройку и саму интеграцию с платежной системой, грамотно выставить всякие там разрешения на скрипт и прикрыть порты файрволом, отладить/интегрировать  отправку СМС об оплатах  и многое многое другое.

 

 

Радиус их ничем не лучше dhcp - падучее и глюкавое.

После нескольких дней мучений и глюкодрома был заменен на freeradius , на некоторых серверах работающий без единого глюка уже больше 10 лет.

 

Возможно мое отношение к UTM5 несколько предвзято,  так как мои отношения с ним начались еще с самой первой версии.

Когда нетап пообещал мне что в 5 версии будет сохранен весь функционал предыдущей версии и я им поверил.

А потом выяснилось что они выкатили абсолютно дикую чудовищную архитектуру не имеющую ничего общего с прошлой версией.

И динамические пулы IP придется ждать 1.5 года и.т.п.  , классы трафика и многое многое другое ( у нас был спутниковый интернет, с тарифами, где стоимость мегабайта зависела от выбранной скорости доступа )

В общем намучился много.  Последние версии стали более-менее самодостаточны, но за годы боёв я научился каждый из кусков UTM5 готовить намного лучше авторов.

 

 

 

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
В 05.10.2017 в 17:23, YuryD сказал:

 Давайте упростим задачу для меня :) Есть например личный кабинет, доступ к которому для клиентов доступен без ната(cоотв и сервер и клиенты на серых адресах). Многие браузеры неохотно пускают по http, предлагая https. https требует сертификата - я правильно понял ? Самоподписный - опять будет сопровождаться матюками браузера на недостоверность. Выход - получать/покупать достоверный для сервера личного кабинета, который доступен только локально ? Или еще как, научите ?

 Про обратные зоны для серых адресов - мне эта идея неприятна, ибо будет грузить nameservers левыми запросами, практического значения этот обратный, как и прямой резолвинг не имеет для меня.

Если денег жалко, то летзенкрипт уже советовали ни раз и ни два.. валидать они умеют как по веб запросу (т.к. адрес серый, Вам не проканает) так и по dns. ДА ИЛИ ip или хотябы DNS зона должна быть доступны из инета.. совсем на .local не получится.

У меня их сертификатов с десятка полтора, валидатятся и так и так, где как удобнее было.. везде все отрабатывает шеловым скриптом DEHYDRATED (ищется на гите) с самописными хуками по установке-применению куда надо. все более менее современные браузеры, уже давно не ругаются на такие. если кто с сотворения мира не обновлялся, но у того далеко не только с этими сертификатами проблемы.

 

зы, отсутствие обратной зоны не снижает а увеличивает нагрузку на ресолверы.. так он получит ответ и успокоится на время ТТЛ, а так будет спрашивать снова и снова.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
В 06.10.2017 в 17:43, YuryD сказал:

 Читал, нихрена не понял...  Мне нужен валидный сертификат, а тут какая-то байда для чайников... Я простого хочу - управлять своим. Я хочу запросить и получить валидный сертификат вручную. Понимая риски конечно.  Тут мне предлагают байду неизвестного происхождения...

в ручную... ну можно конечно почитать их спецуху и попостить руками ууенкоденные jsonы... я тоже не хочу эту питонячую байду на 100500 зависимостей, я взял шеловый скрипт (название см выше), посмтрел его глазами и запускаю его не от рута (в некоторых местах вообще не там, куда сертификат, а сертификат потом забирается готовый и ставится в совсем другом месте.)

 

скрипт генерит пару закрытый ключ + запрос на сертификат, запрос отправляет на сервера летзинкрипта производит валидацию, выкладвая куда надо файлики и скачивает подписанный сертифкат и цепочку доверия. и зовет хук, что "Усе готово". в общем если сертификат потом хочется ставить руками,  сделалйте хук, отправляющий письмо "Сертификат реди"

Хуки есть и на валидацию, через него можно делать все что угодно, сложнее чем просто положить файл. DNS так делается.

 

Если все это напрягяет, то за пару полновесных отечственных килорублей вам раз в год подпишут сертификат без всей этой автоматики в куче разных мест.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
13 минут назад, st_re сказал:

 Давайте упростим задачу для меня :)

если у вас задача лазить с одного компьютера на много единиц свитчей ( железок ) то гораздо проще правильно приготовить этот компьютер  чем тыщу коммутаторов под него подстраивать.

давайте разберемся зачем вам вообще в больших количествах лазить через веб на какое-то адовое древнее устройство, которое поддерживает только IE?

может что-то в постановке задачи подправить?

Во второй раз вам говорю, что обратные зоны DNS приводились ТОЛЬКО как общепринятый пример формирования доменного имени для клиентов.

К тому что хотите сделать вы не имеет отношения, потому что так никто не делает.

Вы какую-то задачу пытаетесь решать неправильно.

 

Но если рассматривать вашу задачу буквально, то lets encrypt вам будет вреден, так как там сертификат менять каждые 3 месяца.

Значит вам придется программировать скрипт, обновляющий этот сертификат на куче железок, а так же получающий его в обход стандартной процедуры ( например с DNAT проверочного порта если коннектятся из сети lets encrrypt  на спец-сервер и там дальнейший скрипт деплоя сертификатов по железкам, как это сделано  у меня )

А это все требует программирования на достаточном уровне, которого у вас похоже нету.

 

 

Сделать же свой собственный CA очень просто, буквально несколько команд.

Вот вам руководства покороче

http://casp.ru/openssl-ca/

и подлинее

https://sgolubev.ru/openssl-ca/

 

ну и их вообще в интернете навалом.

 

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

да... форум новый а баги старые.. это не я писал.. я это цетировал.. и у Yuri, которого я цетировал, небыло 100500 железок..

 

в 100500 железок, если они позволяют зхоть както автоматизировать заливку сертификатов, или ставить со своенго ЦА, либо купить *.hardware.domain.ru сертификат (ну с нового года летзинкрипты обещают такое, но раз в 3 месяца менять) и поставить, но менять полюбому... раз в 3 месяца, года или 2, но менять... безсрочных не дают. со своего ЦА можно надолго.

 

катати, когда я не смог попадать на APC железки, т.к. те не умели чтото свежее ssl2, то поставил нгинкс, указал все имена всех APC туда, а  там сделал проксипас через мапку.. там сертификат можно и не чекать даже тогда. на этом нгинксе счтоит подходящая звезда, (со своего ЦА, яж для себя делал.)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
24 минуты назад, st_re сказал:

везде все отрабатывает шеловым скриптом DEHYDRATED

Это сомнительное решение и потенциальная дыра в безопасности, ставить на кучу серверов DEHYDRATED.

И в любом случае на железки о которых говорит автор ее не прикрутить, так как они с серыми IP и не являются серверами.

У меня DEHYDRATED стоит на одном изолированном openvz контейнере,  куда завернуты проверочные запросы с блока 66.133.96.0/19

скрипты этого контейнера затем по ssh распостраняют сертификаты по железкам.

при этом полномочия ssh-ключа не выходят за пределы прав обновления сертификата ( список команд фиксирован в authorized_keys)

 

 

6 минут назад, st_re сказал:

катати, когда я не смог попадать на APC железки, т.к. те не умели чтото свежее ssl2, то поставил нгинкс,

да, прокся это второе что я хотел предложить автору темы.

Но если там лазить всего с 1-2 двух мест, то будет для него более трудоемко.

Проще всего просто браузер пиленный поставить который позволит убрать эти предупреждения безопасности

 

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
7 минут назад, LostSoul сказал:

Это сомнительное решение и потенциальная дыра в безопасности, ставить на кучу серверов DEHYDRATED.

И в любом случае на железки о которых говорит автор ее не прикрутить, так как они с серыми IP и не являются серверами.

У меня DEHYDRATED стоит на одном изолированном openvz контейнере,  куда завернуты проверочные запросы с блока 66.133.96.0/19

скрипты этого контейнера затем по ssh распостраняют сертификаты по железкам.

при этом полномочия ssh-ключа не выходят за пределы прав обновления сертификата ( список команд фиксирован в authorized_keys)

 

ну, во первых он короткий, я его прочитал весь, там некуда особо воткнуть дырок, и пускать надо не от рута. сертификаты можно применять внешней обзякой, тогда даже судо не надо. перевыпуск происходит заранее,.. :во вторых можно не ставить на сами сервера, а сделать выделенный выписывальщик.. у меня например пачка сертификатов выписывается на отдельной машине кому надо в своем ЦА, кому надо в летзинкрипте вываливается в папет и оттуда деплоится по мере применения. LE валидация по DNS, но сам скрипт в dns не ходит, там внешняя асинхронная взлеталка рулит. да, валидация затягивается на несколько минут, а мне то что ? я дома чай пью и на формах трендю...

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
5 часов назад, LostSoul сказал:

Я вот счас уточню, cgi-скрипт на чем угодно от php до bash , который по приходу уведомления от платежной системы:

1) одной командой проверит подпись

2) второй командой проверит уникальность платежа в таблице

3) третьей командой запустит utm5_payment_tool

4) четвертой командой напишет админу если в результате пункта 3 вернулся плохой код ошибки.

 

Вы правда считаете что вот эта ерунда стоит 15 тысяч, помноженное на число платежных систем?

15круб за то чтобы накорябать скрипт к неведомой херне это вполне посильная сумма.

Если вы сами можете хорошо, а кто сам не может - ему проще 15к отдать, чем тратить время на поиски того кто сможет, потом ждать, потом тестить и тп.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
8 часов назад, LostSoul сказал:

Лицензия на интеграцию с ОДНОЙ(каждой) платежной системой     15 000 руб.

Я вот счас уточню, cgi-скрипт на чем угодно от php до bash , который по приходу уведомления от платежной системы:

1) одной командой проверит подпись

2) второй командой проверит уникальность платежа в таблице

3) третьей командой запустит utm5_payment_tool

4) четвертой командой напишет админу если в результате пункта 3 вернулся плохой код ошибки.

 

Вы правда считаете что вот эта ерунда стоит 15 тысяч, помноженное на число платежных систем?

Причем ладно бы оно было у нетапа нормально написано, но ведь там жуть и мрак.

 

 

 Вот и я так  считаю :) Свою онлайнсистему работающую по криптотуннелю со сбером, сделанную из палок и жвачки, вместе с отладкой запустил за 2 месяца в работу(за голую зарплату). Могу и сейчас повторить, смысла только нету. В преддверии внедрения сорм3 - биллинг один буй новый будет - зачем тогда эти лишние телодвижения ?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
9 часов назад, st_re сказал:

можно не ставить на сами сервера

Ну вы схему описали практически 1в1 как у меня, только я папет не люблю и обхожусь своими костылями.

 

 

5 часов назад, Ivan_83 сказал:

 а кто сам не может - ему проще 15к отдать

Такой сферический персонаж в вакууме, который мог бы правильно прикрутить без ошибок , но при этом не может сам осилить скрипт в 4 команды - это достаточно редкий случай.

Скорее так - или человек сам может,  или всё равно будет приглашаться специалист на выполнение работ по установке.

Так вот если специалист по установке будет, то и эти 4 команды ему проще накодить самому за небольшую прибавку к оплате работ по инсталяции ( никак не 15 тыщ/система )

Я единственный случай представляю когда стоит платить денег - это когда сроки поджимают так что каждый час на счету и надо скорее запускаться.

 

Дело в том , что у нетапа нету такого уж дружественного установщика модулей какой есть скажем у billmanager.

Там хотя бы понятно за что платишь - выбрал плагин в списке GUI, нажал установить, ввел учетные данные платежной системы - и всё , оно установлено и настроено как надо, работает.

 

В нетапе ничего похожего нету, требуется админ и напильник.

 

 

 

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
10 часов назад, LostSoul сказал:

Сделать же свой собственный CA очень просто, буквально несколько команд.

Вообще-то нет. Правильный набор расширений и ограничений довольно трудно найти. Оно, конечно, и без этого обычно работает, то то же Name Constraints хорошо бы ставить, чтобы получившийся корень на весь интеренет не распространялся, только на свои домены.

Если используются промежуточные CA, то все еще больше усложняется. Это все в подобных HOWTO-ках редко пишут. А ведь тонкостей, которые нужны, чтобы не выстрелить себе в ногу много.

 

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
42 минуты назад, Sergey Gilfanov сказал:

получившийся корень на весь интеренет не распространялся,

и чем это плохо?

Мы сами себе не доверяем или свой корень кому-то постороннему предлагать к использованию будем?

 

Корневой CA - он и может быть только на весь интернет.

Если у вас центр сертификации на определенный узел иерархии ( домен с поддоменами ) то это не корневой CA уже.

 

И такие мелочи могут беспокоить только тех, кто делает ПРОМЕЖУТОЧНЫЙ центр сертификации, и хочет чтоб его удостоверил кто-то из root ca.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Для публикации сообщений создайте учётную запись или авторизуйтесь

Вы должны быть пользователем, чтобы оставить комментарий

Создать учетную запись

Зарегистрируйте новую учётную запись в нашем сообществе. Это очень просто!


Регистрация нового пользователя

Войти

Уже есть аккаунт? Войти в систему.


Войти