News Server: Let's Encrypt bald mit Wildcard-Zertifikaten

[Blutschlumpf]

Wie wird das denn mit dem Auto-Upgrade überhaupt laufen?
Mit nem Wildcard-Zertifikat hat man ja potentiell ein Zertifikat auf mehreren Rechnern.
Dann müssen ja entweder altes und neues Zertifikat ne Weile lang zeitgleich valide sein oder man muss alle Server gleichzeitig updaten.

 

[dMopp]

So wie jetzt auch.

 

[EVZY]

Sehr schön, dann hat das unendliche Subdomain-Gedöns ein Ende.
Weiter so LE! Das Projekt ist das beste was dem Internet passieren konnte.

 

[Blutschlumpf]

So wie jetzt auch.

Das wäre dann wie?

 

[dMopp]

Naja, du wirst nicht drum herum kommen ein script zu schreiben, was die jeweiligen services neustartet.

(In großen automatisierten Landschaften kann puppet das ja übernehmen. Also ein service notify wenn das key/crt geändert wurde)

 

[Blutschlumpf]

Das war doch gar nicht die Frage.
Ich wollte wissen was bei 10 Rechnern und einem (Wildcard)Cert passiert wenn der erste das Zertifikat erneuert.
Sind die anderen 9 dann tot weil die Zertifikate mit dem Update invalidiert werden oder funktionieren die ne Zeit xy lang (als bis zum regulären Laufteitende) parallel?

 

[dMopp]

Ob das alte Zertifikat sofort invalidiert wird? Dann frag das doch

Mmn nein, die Zertifikate bleiben gültig, es sei denn man revoked die zusätzlich.

Und nur um das klar zu stellen:
Richtiger Weg:
- Server 1 macht ein renew und das cert wird auf server 2-8 kopiert und die Dienste neu gestartet.
Falscher Weg:
- Server 1-9 renewn alle selbstständig.

Wieso ist Variante 2 falsch?
- Workload bei LE. (Mit so 500servern kommt das nem mini ddos gleich)
- Invalidierung: du weist nie genau welches der 9 Zertifikate getauscht werden muss im Falle des Falles.
- Du müsstest überall certbot installieren, das willst du nicht

 

[morcego]

Funktionier LE eigentlich inzwischen auch problemlos mit nem Exchange Server?

Ja, gibt´s auch Erklärungen im Netz. Komplett Powershell und es wird temporär der Port 80 auf dem Exchange gebraucht für die Validierung.