- Mitglied seit
- 01. Sep 2012
- Beiträge
- 17.485
- Punkte für Reaktionen
- 8
- Punkte
- 414
ACME Tiny: Python-basierter Client per Cronjob
Für all diejenigen, die auch ein wenig Spaß an mehr haben, ein kleiner Tipp: hier gibt es ACME Tiny, ein pythonbasiertes Skript, um Let's Encrypt-Zertifikate zu holen und zu installieren - was man dann per cron-Job auch automatisiert laufen lassen kann.
Ich für meinen Teil vertiefe mich gerade darin, das Skript noch ein wenig aufzubohren, um in regelmäßigen Abläufen nicht nur ein Zertifikat zu erneuern, sondern dabei auch immer schon einen zweiten Reserve-CSR zu erzeugen, der dann zusammen mit dem aktuellen Zertifikat gepinnt wird (vgl. Certificate Pinning). Im nächsten Durchlauf wird dann der Reserve-CSR vom letzten Durchlauf für den Let's Encrypt-Aufruf verwendet und ein neuer Reserve-CSR erzeugt - somit hat man vollautomatisiert immer ein aktuelles Zertifikat sowie einen Reserve-CSR, die beide per Pin gesichert sind.
Im Ergebnis könnte man das Ganze dann als Paket schnüren mit GUI, um die Häufigkeit und das Pinning optional auf DSM bzw. Webserver zu aktivieren.
Für all diejenigen, die auch ein wenig Spaß an mehr haben, ein kleiner Tipp: hier gibt es ACME Tiny, ein pythonbasiertes Skript, um Let's Encrypt-Zertifikate zu holen und zu installieren - was man dann per cron-Job auch automatisiert laufen lassen kann.
Ich für meinen Teil vertiefe mich gerade darin, das Skript noch ein wenig aufzubohren, um in regelmäßigen Abläufen nicht nur ein Zertifikat zu erneuern, sondern dabei auch immer schon einen zweiten Reserve-CSR zu erzeugen, der dann zusammen mit dem aktuellen Zertifikat gepinnt wird (vgl. Certificate Pinning). Im nächsten Durchlauf wird dann der Reserve-CSR vom letzten Durchlauf für den Let's Encrypt-Aufruf verwendet und ein neuer Reserve-CSR erzeugt - somit hat man vollautomatisiert immer ein aktuelles Zertifikat sowie einen Reserve-CSR, die beide per Pin gesichert sind.
Im Ergebnis könnte man das Ganze dann als Paket schnüren mit GUI, um die Häufigkeit und das Pinning optional auf DSM bzw. Webserver zu aktivieren.