step-ca - это онлайн-центр сертификации для безопасного автоматизированного управления сертификатами для DevOps (X.509, SSH, ACME)

Вы можете использовать step-ca для:

- выпуск сертификатов HTTPS-сервера и клиента, которые работают в браузерах ( RFC5280)
- выпуск сертификатов TLS для DevOps: виртуальных машин, контейнеров, API, подключений к базам данных, модулей Kubernetes
- выдача SSH-сертификатов для людей в обмен на токены единого входа или для хостов в обмен на документы, удостоверяющие личность облачного экземпляра.
- легко автоматизировать управление сертификатами со встроенным ACME сервером, который поддерживает все популярные типы задач ACME.
- использовать CLI клиент в скриптах

https://github.com/smallstep/certificates

опубликовано в  @gitgate

#cert #acme #ca #ssh #security #x509

docker-haproxy-acme - образ Docker, сочетающий в себе haproxy и acme.sh

Комбинация haproxy и acme.sh представляет собой облегченную альтернативу Traefik для реализации завершения SSL (TLS) для общедоступных служб Docker. Основным преимуществом является децентрализованная организация сертификатов и реализация принципа нулевого доверия внутри группы контейнеров.

Поддерживает как ACME HTTP, так и ACME DNS (включая и wildcard сертификаты). Как следствие нет необходимости открывать 80 и 443 порт снаружи, и можно получать сертификаты в закрытом контуре.

PS. Да, у себя активно использую (если это для кого то довод)


https://github.com/flobernd/docker-haproxy-acme

опубликовано в @gitgate

#proxy #haproxy #traefik #ssl #tls #cert #acme #docker

Acme PHP - простой, но очень расширяемый CLI клиент для Let's Encrypt, который поможет вам получать и обновлять бесплатные сертификаты HTTPS.

Acme PHP также является инициативой по созданию надежной, стабильной и мощной реализации протокола ACME в PHP. Используя библиотеку Acme PHP и основные компоненты, вы сможете глубоко интегрировать управление своими сертификатами непосредственно в свое приложение (например, продлевать свои сертификаты через веб-интерфейс).

Acme PHP предоставляет несколько существенных улучшений по сравнению с клиентами по умолчанию:
- Acme PHP по своей природе представляет собой один двоичный файл: достаточно его загрузить, и вы готовы приступить к работе;
- Acme PHP основан на файле конфигурации, а не на аргументах командной строки. Таким образом при каждом обновлении используется одна и та же настройка;
- Acme PHP очень расширяем для создания структуры файлов сертификатов, необходимой для вашего веб-сервера. Он предоставляет несколько форматировщиков по умолчанию для создания классических файловых структур (nginx, nginx-proxy, haproxy и т. д.), но при необходимости вы можете очень легко создать свои собственные;
- Acme PHP следует строгой политике BC, предотвращающей ошибки в ваших скриптах или CRON, даже если вы их обновляете (дополнительную информацию см. в политике обратной совместимости Acme PHP);

https://github.com/acmephp/acmephp

опубликовано в @gitgate

#acme #ssl #cert #php #dev #cli

acme-dns - упрощенный DNS-сервер с RESTful HTTP API, предоставляющий простой способ автоматизации запросов DNS ACME.

Многие DNS-серверы не предоставляют API для автоматизации проверок ACME DNS. Те, которые предоставляют API, наделяют ключи слишком большой властью. Слишком часто для эффективной автоматизации процесса приходится оставлять ключи разбросанными по разным коробкам.

Acme-dns предоставляет простой API исключительно для обновления записей TXT и должен использоваться с магической командой ACME "_acme-challenge" - записями CNAME поддомена. Таким образом, в случае нежелательного раскрытия ключей API, эффект будет ограничен соответствующей записью TXT поддомена.

В итоге все сводится к доступности и безопасности.

Возможности:
- упрощенный DNS-сервер, обрабатывающий ваши запросы ACME DNS (TXT)
- пользовательские записи (обеспечьте обслуживание необходимых вам записей категорий A, AAAA, NS и т. д.)
- HTTP API автоматически получает и использует TLS-сертификат Let's Encrypt.
- сграничение доступа к конечной точке API /update определенными масками CIDR, заданными в запросе /register.
- поддерживает SQLite и PostgreSQL в качестве баз данных.
- поэтапное обновление двух TXT-записей для возможности ответа на запросы сертификатов, содержащих оба имени: yourdomain.tld и *.yourdomain.tld, поскольку оба запроса указывают на один и тот же поддомен.
- простая установка (в конце концов, это же Go).

https://github.com/joohoi/acme-dns

Опубликовано в @gitgate

#acme #dns #api #cert