-
Notifications
You must be signed in to change notification settings - Fork 0
le init
Предварительная настройка для работы с Let's Encrypt
Если клиентская машина не имеет доступа в Интернет,
ей придётся обращаться к серверам Let's Encrypt
через прокси-сервер proxy.uxm
по порту 3128
.
Для этого на прокси-сервере squid в файл /etc/squid3/local.domain
добавлена строчка .api.letsencrypt.org
.
Клиентам proxy указывается в формате proxy.uxm:3128
,
опытным путём установлено,
что клиентам Windows её указывать не нужно,
они могут её выяснить самостоятельно.
Как правило, все клиенты могут самостоятельно найти все промежуточные сертификаты,
использованные для подписания сертификатов Let's Encrypt.
Тем не менее, сбои случаются.
Во избежание, в групповую политику EKBH-Common
были добавлены
(Computer / Policies / Windows / Security / Public Key) следующие сертификаты:
-
Trusted Root
:DST Root CA X3
-
Intermediate
:Let's Encrypt Authority X3
иFake LE Intermediate X1
Таким образом, они могут проверяться всеми клиентами и раздаваться серверами.
Для хранения резервных копий со всех серверов, где генерируются сертификаты Let's Encrypt, был поднят gitolite.