In de afgelopen jaren heb ik een aardig homelabje gemaakt met zo’n 30 docker containers. Hierdoor ben ik, mede doordat ik ook al jaren met linux werk, en ook overgestapt ben op eOS helemaal vrij van amerikaanse systemen. Ik ben daar erg blij mee.
Echter….. Mijn domeinnamen waren geregistreerd met godaddy, cloudflare en ik gebruik nginx proxy manager. Zelf ben ik geen it-er maar wtber, dus heb dit lekker in elkaar geklust met youtube tutorials.
Nu heb ik recentelijk mijn domeinen verhuisd naar freedom.nl. Ook wil ik wat meer geavanceerde bot en hacker beveiliging gaan inrichten dus ben van plan over te stappen van nginx proxy manager naar traefik. Ook wil ik geen let’sencrypt meer omdat dat ook amerikaans is maar overweeg hiervoor BuyPass te gebruiken, een EU alternatief.
Nu heb ik dit hele riedeltje natuurlijk aan Le Chat en Gemini gevraagd (helaas is gemini toch echt nog beter), maar ook kwamen er zelfs bij gemini veel hallicunaties uit. Zo gaf gemini bijvoorbeeld aan dat er in freedom.nl een optie zou zijn voor een ‘acme-api-key’, maar die optie zie ik helemaal niet in mijn dashboard.
Mijn vraag is dus, zouden jullie mij misschien een beetje op weg kunnen helpen? Ik kon zo snel geen tutorials vinden om dit te doen, en youtube gaat dus altijd maar uit van cloudflare etc. Zodra ik er uit kom vind ik het best een goed idee om een tutorial van mijn stappen te maken omdat ik vermoed dat er meer mensen af gaan stappen van US tech en EU opties gaan volgen. Ik denk dan dat het goed is om de community aan te vullen met tutorials zodat we onze vrienden een meer eenvoudig proces kunnen geven om dit voor elkaar te krijgen.
Vzv ik weet biedt Freedom alleen reverse DNS. Gebruik ik niet, ik heb 4 domeinen en Synology NAS met een gebruiksvriendelijke reverse proxy met ACME client die alleen overweg kan met…
Oef, Letsencrypt! De organisatie staat wel zo ver van Trump af als maar kan, maar je hebt gelijk. Amerikaans. Maar BuyPass? Dit gelezen? Actalis misschien?
Ik zie het al! Omdat mijn internet aansluiting van freedom.nl pas eind van de maand wordt ingesteld kan ik nog geen reverse-dns instellen, dat is logisch. Ik moet dus nog even wachten.
En jammer dat BuyPass niet mee rbeschikbaar is zeg Actalis eerste instantie even bezocht, ik snap even zo snel niet of ik moet betalen of niet voor wat ik nodig heb, als dat niet het geval is ga ik gewoon lekker over op actalis, dankjewel
ik zou het ook wel wat voor freedom.nl vinden om self signed sertificates te leveren
Ik dacht, goed idee… tot ik deze page tegen kwam bij het zoeken naar BuyPass.
Het lijkt erop dat LetsEncrypt nu nog de enige in de markt is voor gratis certificaten. Alhoewel, Actalis wordt ook gevonden als ik zoek op BuyPass alternatief. Iemand daar ervaring mee? (Ik ga even prutten, kijken of dat werkt)
Edit: Lijkt te werken. Cert is als trusted aangemerkt door m’n browser, als ik er naar kijk staat CN echter niet ingevuld, maar als ik ‘m voor een andere site gebruik dan faalt de check. Goed non-US alternatief… (en ik heb meteen een ECDSA key ipv RSA… scheelt ook weer)
Je hebt een account nodig, eerste aanmaak handmatig as usual met key en key id (staat in je account), CN is niet ingevuld in het cert, maar werkt prima. (gebruiken op een andere site geeft een fout)
Ik ben meteen ook overgestapt van de oude RSA key naar een ECDSA key omdat het toch al een andere partij is. Ik had een keep key optie omdat ik TLSA entries in de DNS zones heb voor een aantal domeinen, die moet je dan ook aanpassen (dus die domeinen moeten nog).
Als je de certs eenmaal hebt, pakt certbot ‘m automagisch op bij de reguliere renew.
Ze hebben 2 opties voor de geldigheid van de certs, 3 maanden of 1 jaar. Ik ben voor 3 gegaan met acme, ik moet nog even kijken of ik voor de interne apparaten een 1 jarige wil hebben.
Ik heb nu 2 freubel sites voorzien van een cert van ze, www.prutter.nl en www.theinsane42.nl. Gelinkt zodat de certs na te lopen zijn.
AI… So overrated… Het is geen expert, het is ook niet gebouwd op het model van “Expert Systemen” zoals in de jaran ‘80/’90.
Het is in feite een “kanstabel” (Markov tables), + random getallen trekker. Op basis van een huidige state (samen gevat alle tekst die op dit moment bekend is.., jouw prompt + tekst) het meest waarschijnlijk volgende woord zoekt. Uit een shortlist op basis van de state in de Markov table + random getal.
Dat kan heel makkelijk onzin produceren. Want een acme-key komt best voor in teksten rondom letsencrypt. vast een van de woorden in je prompt of af te leiden uit je prompt.
vziw was er ook in US/CA een ISP met de naam Freedom, kan ook een Telco zijn geweest.
Het zag er naar uit dat Actalis een alternatief zou zijn voor Letsencrypt maar er lijken toch wat beperkingen te zijn. Ik krijg geen alternatieve namen in het certificaat en RFC2136 (DNS) authenticatie krijg ik niet werkend; wat nodig is voor wildcard certificaten. En de “standaard” webroot authenticatie is lastig als certbot op een andere host draait als de web server.
Of ik doe iets niet goed natuurlijk… (m.a.w: tips zijn welkom ).
Als je een alternatief voor letsencrypt zoekt kan je eens kijken bij ZeroSSL die adverteren zelf met dat ze een alternatief zijn en zijn gevestigd in Wenen/Oostenrijk.
Ik heb er zelf (nog) geen ervaring mee, maar de ACME client die ik gebruik (acme.sh) heeft dit tegenwoordig zelfs als default staan.
Zowel Actalis als ZeroSSL vragen merkwaardig hoge prijzen voor “multi-domain certs”, dus als je die of wildcards gebruikt zit je aan let’s encrypt vast. Eigenlijk staan Actalis en ZeroSSL alleen maar single-domain certs gratis toe.
Ik ben zelf maar duaal gaan draaien, en heb sommige certificaten opgesplitst om ze bij Actalis te kunnen draaien.
mijn ervaring met ZeroSSL is dat ze mij e-mails sturen over verlopen certificaten, terwijl mijn ACME-client die certificaten wel gewoon verlengt heeft. En als ik dan in de webinterface kijk, dan lijken het geen vernieuwingen te zijn, maar elke keer weer nieuwe certificaten te zijn.
Ik weet niet of dit door mijn ACME client komt of door iets anders, maar ik vind het wel irritant.
Dat is bij Letsencrypt toch niet anders? Er wordt telkens een nieuwe private key en CSR aangemaakt waarna je een moment later een nieuw ondertekend certificaat ontvangt.
Of ik nu enkel het verlengde certificaat moet vervangen of zowel het certificaat als de private key dat vind ik niet zo veel uitmaken, zeker niet omdat het geautomatiseerd is.
Het gaat mij dan vooral dat ze een e-mail sturen, terwijl er al een nieuw certificaat uitgegeven is met dezelfde FQDN. Daardoor vraag ik me elke keer weer af of het vernieuwen van het certificaat wel goed gegaan is.
Actalis doet dit helaas ook, en dan ook in het Italiaans. Je kunt het per certificaat uitzetten, maar niet globaal. Geen idee nog of dat letterlijk voor dat ene certificaat of voor het domein is. Je kunt in hun webomgeving al je certificaten zien, waarin je dubbelen hebt staan omdat je een certificaat dus vernieuwd hebt.
Ik gebruik actalis ook hier, werkt prima en via acme kan je onbeperkt certificaten aanvragen. Via letsencrypt had ik ook per website een cert, dus ik zie het probleem niet echt. Vol automagisch wordt alles verlengd, werkt zonder issues.
Wat betreft mails over al vernieuwde certificaten, check of je ACME client het oude certificaat wel goed intrekt (revoke).
Bijvoorbeeld certbot doet dit niet automatisch, omdat niet zeker is of het nieuwe certificaat direct in gebruik wordt genomen. Maar als je dat wel doet dan kan je met een deploy-hook script de oude automatisch revoken.
Maar soms kan het handig zijn om zowel de primaire host name als de aliassen van hetzelfde certificaat te voorzien, bijvoorbeels voor mailservers waarop users inloggen op hun “eigen” hostnaam. Zelf vind ik het daarnaast handig on de servers die ik op hun interne domeinnaam (.internal in mijn geval) benader deze hostnaam op te nemen als SAN in het certificaat.
Natuurlijk is het gaan halszaak, maar gewoon iets wat ik handig vind en niet direct kwijt wil.
Dat heb ik anders opgelost. Ik heb interne DNS servers (bind), die gewoon op de ‘externe’ naam, een intern adres levert. Netjes met DNSSEC, een interne zone met andere inhoud dan de externe.
Randvoorwaarde is dat je de externe DNS ook zelf host (helemaal, dus een eigen DNS server), maar dan is het ook redelijk simpel te regelen (jij beheerd de DNSSEC keys, dus je kan ze copieren ). Dan heb je ook de optie om via DNS de ACME check te doen voor interne hosts die je extern niet bekend wil hebben. (al kan je intern natuurlijk ook de self-signed certs accepteren )
Hm. Strict genomen zouden niet verifieerbare domeinnamen UIT de SAN gehaald moeten worden.
Als ZeroSSL /Actalis dit niet doen is het een fout. (Ander kun je ook google.com in je SAN opnemen).
Dus .internal zouden er niet meer in mogen staan.
Ik heb voor intern domein een eigen CA, en geef daarvoor certificaten uit. (Handmatig, eens per 2 jaar). Dat interne CA staat gewoon in de trusted store.
Als je andere termijnen wil voor interne certificated, dan is dat een keuze bij aanmaak.
Ik heb net een revoke op een vernieuwd certificaat bij Actalis gedaan, en als resultaat kreeg ik een email dat het certificaat dus ingetrokken was. Kortom je krijgt zowieso email van ze. Weet iemand of ze bij ZeroSSL mail versturen als je een revoke doet?
Actalis eerste instantie even bezocht, ik snap even zo snel niet of ik moet betalen of niet voor wat ik nodig heb, als dat niet het geval is ga ik gewoon lekker over op actalis, dankjewel 
). Dan heb je ook de optie om via DNS de ACME check te doen voor interne hosts die je extern niet bekend wil hebben. (al kan je intern natuurlijk ook de self-signed certs accepteren