Что такое Let's Encrypt знает, наверное, каждый читатель Хабрахабра, ведь опубликовано уже более 100 статей на эту тему. Большая часть из них, это инструкции по установке и настройке: какой пакет установить, какие строчки конфига поправить, какой скрипт разместить в crontab, как завести это на очередном веб-сервере и автоматизировать для docker и прочих модных технологий.
В нашем продукте — Flussonic, мы сделали, пожалуй, самый простой способ настройки Let's Encrypt, не требующий правки конфигов, просто нажатием кнопки «Сделай мне HTTPS».
Справка
Для тех кто первый раз слышит про «Let's Encrypt», небольшая справка:
Let's Encrypt — центр сертификации предоставляющий в автоматическом режиме бесплатные криптографические сертификаты для TLS шифрования (HTTPS) со сроком на 90 дней. Проект создан для того, чтобы HTTPS стал доступнее для интернет-проектов, чтобы максимально упросить процесс получения, настройки и сделать его абсолютно бесплатным, без ущерба безопасности.
Выдача и продление сертификата происходоит в автоматическом режиме по протоколу Automated Certificate Management Environment (ACME). В этом протоколе к веб-серверу, запросившему сертификат, производится серия запросов, для подтверждения факта владения доменом.
В большинстве linux дистрибутивов есть пакет, позволяющий за 30 секунд получить сертификат в удобном формате для популярных веб-серверов (nginx, apache2). Опытные системные администраторы без проблем смогут настроить любой софт с TLS шифрованием для использования этого сертификата. А для настройки автоматического обновления нужно добавить одну строчку в crontab.
На данный момент, Let's Encrypt выдали уже более 100 миллионов сертификатов. Сервис невероятно популярен и рекомендуется к использованию.
Let's Encrypt и Flussonic
Как-то неприлично аудитории Хабра объяснять зачем нужен HTTPS, когда речь идет о передаче видео, в том числе с камер видеонаблюдения. Пользователи становятся более грамотными, обращают внимание на наличие безопасного соединения, когда речь идет о заполнении форм, и уж тем более, для них важно, чтобы видео с камеры наблюдения доставлялось безопасно. А если речь идет про корпоративное использование, то это просто обязательно.
Мы добавили поддержку Let's Encrypt во Flussonic уже давно, а недавно прокачали его, чтобы сам следил за сроком жизни. А сейчас я покажу вам, как наши клиенты настраивают HTTPS, это невероятно просто.
Предполагается, что клиент уже имеет доменное имя, настроил DNS соответсвующим образом. Открывает веб-интерфейс Flussonic и переходит во вкладку «Config» и указывает порт для HTTPS:
После ввода номера порта, в интерфейсе появляется кнопка «Issue by LetsEncrypt», нажав на которую происходит общение по ACME. Вводить имя домена не требуется, Flussonic получает его из адресной строки браузера. Это решение экономит несколько секунд времени, исключает ошибку при наборе, что в целом упрощает жизнь нашим клиентам.
На скриншоте выше результат нажания на кнопку: отображаются параметры полученного сертификата, центр сертификации и срок действия. Остается только нажать на кнопку «сохранить» и все, перезагрузка сервиса не потребуется, а Flussonic будет сам продлевать сертификат.
Итоги
Как я и написал в самом начале: пожалуй, у нас самая простая реализация настройки Let's Encrypt: никакого дополнительного софта и ввода настроек с клавиатуры.
Доставляйте видео по безопасному соединению — это просто, бесплатно и очень востребовано сегодня. Мы сделали все, чтобы вы могли сосредоточиться на своем сервисе, а не конфигурации софта.
Поделиться с друзьями
Paul_Nice
Let's encrypt cертификат можно выписать только на домен, но не на IP адрес.
Кто-то же обязательно пропустит выбор имени и настройки DNS.
klu4ik
О таких случая наша техподдержка еще слышала. Если что, проконсультируем.
CherryPah
что мешает для стримингового сервера выдать любой алиас
Я правильно понимаю что статья тут о том что в вебморду был прикручен функционал выполняющий команду
klu4ik
Именно! Наши клиенты не только матерые системные администраторы. Помимо выполнения этой команды, нужно еще установить пакет, установить веб-сервер, чтобы ACME выполнился успешно, потом путь к полученному сертификату указать в конфигурации нашего софта, потом надо отредактировать crontab.
Все это побольше, чем выполнение одной команды. А включение https за 30 секунд на очередном инстансе — это чертовски приятно.
CherryPah
ну повышение юзабилити всегда хорошо, прошли уже те времена когда любое облагораживание интерфейса обзывалось свистоперделкой со стороны администатора, а единственно верным способом конфигурирования софта считался vim и мэйкинсталл
однако вы все равно чуть приукрашиваете ситуацию
Клиентами вашими могут являться не только матерые админы, однако я уверен(а вы знаете точно)что любой из ваших клиентов имеет в своем штате если уж не гуру баша, то хотя бы человека который знает как установить ваш пакет из репозитория (который тоже сначала надо настроить) или из debа.
Чем сложнее установка летсенкрипта мне не ясно, к тому же он вообще не требует конфигурирования и работает искаропки. Flussonic же требует какой-никакой, а первоначальной настройки.
Да и вообще софт такой, не для домашнего пользования явно, поэтому админ должен иметься априори
Алиас все равно придется кому-то прикручивать, опять же зовем админа
Вебсервер вроде как устанавливаться не должен — он уже должен быть и быть настроенным, иначе где еще нажимать эту прекрасную кнопку «хочу https» как не в вебморде
А из вопросов по делу — в связи с некоторыми статьями пророчащими смерть летсенкрипту — будет ли реализован функционал с возможностью загрузки своих сертификатов рядом с этой магической кнопкой. Ну не знаю, вторая там кнопка — сгенерить CSR и поле для загрузки сертификата полученного от проверенного регистратора, или своего самоподписанного, использующегося внутри локалки в случае использования стримера ДСП внутри корпоративной сети
erlyvideo
эх, если бы всё было так.
Примерно 20% наших пользователей знакомятся с линуксом потому что мы рекомендуем убунту.
Как выяснилось, немалая часть копирует apt-get install в адресную строку браузера.
Сколько людей пропало в виме, мы даже не представляем. Так что приделывание кнопочки в браузере очень здорово помогло куче пользователей.
Идеи по деланию CSR и прочего — ок, спасибо, подумаю.