cert-exporter - экспортер prometheus для проверки времени валидности сертификатов x509 в формате PEM и  PKCS12, как обособленных, в виде файла, так и в k8s secrets.

https://github.com/joe-elliott/cert-exporter

#moni #ssl #cert #k8s #exporter #prometheus #x509

step-ca - это онлайн-центр сертификации для безопасного автоматизированного управления сертификатами для DevOps (X.509, SSH, ACME)

Вы можете использовать step-ca для:

- выпуск сертификатов HTTPS-сервера и клиента, которые работают в браузерах ( RFC5280)
- выпуск сертификатов TLS для DevOps: виртуальных машин, контейнеров, API, подключений к базам данных, модулей Kubernetes
- выдача SSH-сертификатов для людей в обмен на токены единого входа или для хостов в обмен на документы, удостоверяющие личность облачного экземпляра.
- легко автоматизировать управление сертификатами со встроенным ACME сервером, который поддерживает все популярные типы задач ACME.
- использовать CLI клиент в скриптах

https://github.com/smallstep/certificates

опубликовано в  @gitgate

#cert #acme #ca #ssh #security #x509

docker-haproxy-acme - образ Docker, сочетающий в себе haproxy и acme.sh

Комбинация haproxy и acme.sh представляет собой облегченную альтернативу Traefik для реализации завершения SSL (TLS) для общедоступных служб Docker. Основным преимуществом является децентрализованная организация сертификатов и реализация принципа нулевого доверия внутри группы контейнеров.

Поддерживает как ACME HTTP, так и ACME DNS (включая и wildcard сертификаты). Как следствие нет необходимости открывать 80 и 443 порт снаружи, и можно получать сертификаты в закрытом контуре.

PS. Да, у себя активно использую (если это для кого то довод)


https://github.com/flobernd/docker-haproxy-acme

опубликовано в @gitgate

#proxy #haproxy #traefik #ssl #tls #cert #acme #docker

Acme PHP - простой, но очень расширяемый CLI клиент для Let's Encrypt, который поможет вам получать и обновлять бесплатные сертификаты HTTPS.

Acme PHP также является инициативой по созданию надежной, стабильной и мощной реализации протокола ACME в PHP. Используя библиотеку Acme PHP и основные компоненты, вы сможете глубоко интегрировать управление своими сертификатами непосредственно в свое приложение (например, продлевать свои сертификаты через веб-интерфейс).

Acme PHP предоставляет несколько существенных улучшений по сравнению с клиентами по умолчанию:
- Acme PHP по своей природе представляет собой один двоичный файл: достаточно его загрузить, и вы готовы приступить к работе;
- Acme PHP основан на файле конфигурации, а не на аргументах командной строки. Таким образом при каждом обновлении используется одна и та же настройка;
- Acme PHP очень расширяем для создания структуры файлов сертификатов, необходимой для вашего веб-сервера. Он предоставляет несколько форматировщиков по умолчанию для создания классических файловых структур (nginx, nginx-proxy, haproxy и т. д.), но при необходимости вы можете очень легко создать свои собственные;
- Acme PHP следует строгой политике BC, предотвращающей ошибки в ваших скриптах или CRON, даже если вы их обновляете (дополнительную информацию см. в политике обратной совместимости Acme PHP);

https://github.com/acmephp/acmephp

опубликовано в @gitgate

#acme #ssl #cert #php #dev #cli

nginx-client-certificate-authentication - пример конфигурации NGINX, включающий аутентификацию по сертификату клиента, то есть пользователь/клиент должен представить сертификат, чтобы получить доступ.

https://gist.github.com/ronau/f78dfef5c496e4240708bbedc6ca512d

опубликовано в @gitgate

#nginx #security #auth #ssl #cert

FrankenPHP - современный сервер приложений для PHP, созданный на основе веб-сервера Caddy. Написан на go, один исполняемый файл.

FrankenPHP дает вашим PHP-приложениям сверхвозможности благодаря своим потрясающим функциям: ранние подсказки, рабочий режим, возможности реального времени, автоматическая поддержка HTTPS, HTTP/2 и HTTP/3...

FrankenPHP работает с любым PHP-приложением и ускоряет ваши проекты Laravel и Symfony как никогда прежде благодаря официальной интеграции с рабочим режимом.

Поддерживает большинство расширений PHP и все расширения Caddy, встроенная поддержка Prometheus, автоматическая генерация, продление и отзыв HTTPS-сертификатов, мягкая перезагрузка и многое другое !

https://github.com/dunglas/frankenphp

Web: https://frankenphp.dev/ru/

PS. FrankenPHP теперь официально поддерживается PHP Foundation - https://les-tilleuls.coop/en/blog/frankenphp-is-now-officially-supported-by-the-php-foundation

опубликовано в @gitgate

#php #go #caddy #appserver #cert #metrics #prometheus

XCA - управление сертификатами и ключами

XCA - это интерфейс для управления асимметричными ключами, такими как RSA или DSA. Он предназначен для использования в качестве небольшого центра сертификации (CA) для создания и подписания сертификатов. Для криптографических операций используется библиотека OpenSSL.

Возможности:
- создание собственной инфраструктуры PKI и создание всех видов сертификатов, запросов или списков отзыва сертификатов
- импорт и экспорт в любом формате, например PEM, DER, PKCS#7, PKCS#12.
- сертификаты для IPsec, OpenVPN, HTTPs
- управление своими смарт-картами через интерфейс PKCS#11
- экспорт сертификатов и запросов в файл конфигурации OpenSSL
- шаблоны тем и/или расширений для упрощения выдачи аналогичных сертификатов.
- преобразование существующих сертификатов или запросов в шаблоны
- получение поддержки расширений x509v3, таких же гибких, как OpenSSL, но более удобных для пользователя.

https://sourceforge.net/projects/xca/

Подсказал: Миша Исаев - @ismvru

Опубликовано в @gitgate

#cert #rsa #dsa #ca #openssl

acme-dns - упрощенный DNS-сервер с RESTful HTTP API, предоставляющий простой способ автоматизации запросов DNS ACME.

Многие DNS-серверы не предоставляют API для автоматизации проверок ACME DNS. Те, которые предоставляют API, наделяют ключи слишком большой властью. Слишком часто для эффективной автоматизации процесса приходится оставлять ключи разбросанными по разным коробкам.

Acme-dns предоставляет простой API исключительно для обновления записей TXT и должен использоваться с магической командой ACME "_acme-challenge" - записями CNAME поддомена. Таким образом, в случае нежелательного раскрытия ключей API, эффект будет ограничен соответствующей записью TXT поддомена.

В итоге все сводится к доступности и безопасности.

Возможности:
- упрощенный DNS-сервер, обрабатывающий ваши запросы ACME DNS (TXT)
- пользовательские записи (обеспечьте обслуживание необходимых вам записей категорий A, AAAA, NS и т. д.)
- HTTP API автоматически получает и использует TLS-сертификат Let's Encrypt.
- сграничение доступа к конечной точке API /update определенными масками CIDR, заданными в запросе /register.
- поддерживает SQLite и PostgreSQL в качестве баз данных.
- поэтапное обновление двух TXT-записей для возможности ответа на запросы сертификатов, содержащих оба имени: yourdomain.tld и *.yourdomain.tld, поскольку оба запроса указывают на один и тот же поддомен.
- простая установка (в конце концов, это же Go).

https://github.com/joohoi/acme-dns

Опубликовано в @gitgate

#acme #dns #api #cert