Skip to content

le init

Stas Ukolov edited this page Oct 6, 2017 · 3 revisions

Предварительная настройка для работы с Let's Encrypt

Прокси-сервер

Если клиентская машина не имеет доступа в Интернет, ей придётся обращаться к серверам Let's Encrypt через прокси-сервер proxy.uxm по порту 3128.

Для этого на прокси-сервере squid в файл /etc/squid3/local.domain добавлена строчка .api.letsencrypt.org.

Клиентам proxy указывается в формате proxy.uxm:3128, опытным путём установлено, что клиентам Windows её указывать не нужно, они могут её выяснить самостоятельно.

Установка промежуточных сертификатов

Как правило, все клиенты могут самостоятельно найти все промежуточные сертификаты, использованные для подписания сертификатов Let's Encrypt. Тем не менее, сбои случаются. Во избежание, в групповую политику EKBH-Common были добавлены (Computer / Policies / Windows / Security / Public Key) следующие сертификаты:

  • Trusted Root: DST Root CA X3
  • Intermediate: Let's Encrypt Authority X3 и Fake LE Intermediate X1

Таким образом, они могут проверяться всеми клиентами и раздаваться серверами.

Хранилище для резервных копий

Для хранения резервных копий со всех серверов, где генерируются сертификаты Let's Encrypt, был поднят gitolite.