PAN-OS позволяет только генерировать самоподписные сертификаты или уже импортировать существующие. Чтобы использовать Let’s Encrypt сертификат, необходимо его запросить на другом устройстве и поэтому в качестве валидации можем использовать только DNS. В качестве DNS провайдера используется AWS Route53, для получения сертификата будем использовать Certbot, так же понадобится установленный и настроенный awscli Получение сертификата Устанавливаем необходимый софт …
Продолжить читать "Palo Alto VM-Series Firewall: Let’s Encrypt сертификат"
Для усиления криптостойкости необходимо использовать файл параметров Диффи — Хеллмана с длиной не менее 4096 бит. Создадим такой файл: Добавим в файл конфигурации Nginx'а: Для проверки можно воспользоваться следующим сервисом: ssllabs.com
Скрипт получает значение, через сколько дней истекает срок действия сертификата и отправляет значений в "Zabbix" через "zabbix-sender". Содержание скрипта: Нужно убедится, что в качестве FQDN хоста задан необходимый домен. Или получать его другим образом, к примеру если у вас на хосте больше одного домена.
Задача: Получить и SSL сертификат для Nginx'a, который живет в контейнере, от Let’s Encrypt и автоматически его продлевать Nginx в контейнере настроен пока только на прослушивание 80-го порта. В контейнер примонтирована директория с хост машины, для верификации сертификатов, и этот путь описан в локейшене. В примере используется Docker-Compose, но он не является обязательным. app.conf docker-compose.yaml
Требование: Нода с установленным Docker’ом Прямой доступ в интернет, или же возможность настроить проброс Доменное имя В моем примере будет использоваться доменное имя "artem.services", на основе его будут создаваться субдоменны. Создадим запись Type A субдоммену "traefik.artem.services" и направим его на нашу ноду. Пример ниже будет приведен на Docker-Compose, это не является необходимым, просто для удобства. …
Продолжить читать "Traefik — Docker + ACME DNS (Route53) Let’s Encrypt Wildcard"
Требование: Нода с установленным Docker’ом Прямой доступ в интернет, или же возможность настроить проброс Доменное имя В моем примере будет использоваться доменное имя "artem.services", на основе его будут создаваться субдоменны. Создадим запись Type A субдоммену "traefik.artem.services" и направим его на нашу ноду. Пример ниже будет приведен на Docker-Compose, это не является необходимым, просто для удобства. …
Продолжить читать "Traefik — Docker + ACME HTTP-01 Let’s Encrypt"