Инструменты пользователя

Инструменты сайта


windows:10:win-acme:issue

Выпуск SSL-сертификата Let's Encrypt с помощью Windows ACMEv2 client (WACS)

В статье рассматривается версия 2.1.9.870 pluggable. Для других версий могут быть отличия.

Задача

Для полноценного использования функции HotSpot в MikroTik RouterOS необходим полноценный валидный, а не самоподписанный, SSL-сертификат. Основной нюанс заключается в том, что для выпуска сертификата, нужна валидация принадлежности доменного имени. Вместе с тем, необходимо получить открытый и закрытый ключ в формате PEM. Если у вас нет своего web-сервера с направленным на него доменом, это становится затруднительным, но интересным приключением. О котором я, собственно, сейчас и поведаю. ;-)

Подготовка

Для начала, необходимо создать поддомен, к примеру, hotspot.example.ru и прикрепить его к любому сайту на хостинге, который доступен из веба1). Потом включить доступ по FTP к корневому каталогу этого сайта2).

:!: Для удобства перевыпуска сертификата все, написанное выше и ниже, должно быть постоянным, т.е. не надо после выполнения этой инструкции все удалять! Наоборот, нужно все делать так, чтобы можно было воспользоваться этим повторно, т.к. сертификаты Let's Encrypt выдаются только на 90 дней.

Далее нужно скачать Windows ACMEv2 client и распаковать его в какую-нибудь папку3), где он будет находиться постоянно. Внутри создать папку для сертификатов, к примеру, так и назвать certificates.

Выпуск сертификата

  1. Запускаем файл wacs.exe с правами администратора4);
  2. Выбираем пункт M: Create certificate (full options) введя английскую букву M5) и нажимаем ввод;
  3. Далее выбираем 2: Manual input и вводим6) имя созданного ранее поддомена7), в нашем примере это hotspot.example.ru;
  4. На следующем этапе8) просто нажимаем ввод, т.к. понятное имя у нас будет совпадать с тем, что ввели ранее;
  5. Выбираем 3: [http-01] Upload verification files via FTP(S);
  6. Далее9) указываем полный адрес FTP сервера, как показано в примере;
  7. В следующем пункте10) вводим N;
  8. Теперь вводим имя пользователя и следом пароль от FTP;
  9. Выбираем последовательно 2: RSA key, 2: PEM encoded files (Apache, nginx, etc.);
  10. Указываем11) путь до созданной ранее папки, куда будут сохранены сертификаты;
  11. Выбираем последовательно 5: No (additional) store steps и 4: No (additional) installation steps;
  12. Далее происходит магия!
  13. Когда магия завершится, можно просто нажать ввод12) и на этом, собственно, все13).
  14. Хотя нет, еще надо импортировать это добро в MikroTik, но это уже другая история.

Дисклеймер

  • Использование материалов данной базы знаний разрешено на условиях лицензии, указанной внизу каждой страницы! При использовании материалов активная гиперссылка на соответствующую страницу данной базы знаний обязательна!
  • Автор не несет и не может нести какую либо ответственность за последствия использования материалов, размещенных в данной базе знаний. Все материалы предоставляются по принципу «как есть». Используйте их исключительно на свой страх и риск.
  • Все высказывания, мысли или идеи автора, размещенные в материалах данной базе знаний, являются исключительно его личным субъективным мнением и могут не совпадать с мнением читателей!
  • При размещении ссылок в данной базе знаний на интернет-страницы третьих лиц автор не несет ответственности за их техническую функциональность (особенно отсутствие вирусов) и содержание! При обнаружении таких ссылок, можно и желательно сообщить о них в комментариях к соответствующей статье.
1)
Беспокоиться о том, что этот адрес имеет привязку к IP, не надо, т.к. из сети HotSpot'а он будет указывать на маршрутизатор, а не в Интернет.
2)
Оба этих действия описывать не буду, т.к. они различаются для разных хостингов. На Beget'е это делается просто – идете сюда, а потом сюда, ждете несколько минут, чтобы произошла линковка и все.
3)
Кириллица поддерживается!
4)
Почему-то так он запускается быстрее. К тому же, хоть нам это и не важно, с дополнительными правами разблокируются некоторые дополнительные опции.
5)
Там, где буквы опции подсвечены зеленым, соответствующую букву можно не вводить, т.к. это обозначает, что при нажатии клавиши ввод, этот пункт будет выбран автоматически.
6)
Во всех полях, тут и далее, корректно работает копипаст!
7)
Enter comma-separated list of host names, starting with the common name:
8)
Suggested friendly name '[Manual] hotspot.example.ru', press <Enter> to accept or type an alternative:
9)
Enter an ftp path that leads to the web root of the host for http authentication
10)
Copy default web.config before validation?
11)
Path to folder where .pem files are stored:
12)
Do you want to specify the user the task will run as?
13)
Обычно я еще в Планировщике заданий отключаю задание win-acme renew (acme-v02.api.letsencrypt.org), т.к. в следующий раз она мне понадобится через 90 дней, а об этом меня оповещает специальный скрипт.

Обсуждение

Ваш комментарий:
K​ D I K E R A G F P W᠎ G​ P D Y U
 
Последнее изменение: 2022/02/12 11:40 (внешнее изменение)