Comment mettre en place Let's Encrypt pour une application serveur

J'ai mon propre nom de domaine avec les services web écrit en Aller. Je suis l'aide de la fonction intégrée de web du serveur, sans Nginx ou Apache en frontal.

Je voudrais commencer à servir sur HTTPS et j'ai réalisé que nous allons Chiffrer est sur le point de devenir LE MOYEN pour le faire.

Quelqu'un peut-il partager l'ensemble de la procédure de configuration pour la configuration d'un Go une application qui s'exécute sur un serveur Linux?

  • Utiliser les caddyserver.com - qui fait cela pour vous (délivre un certificat & procurations à votre demande).
  • Quelle est la question : comment faire pour créer un certificat pour un Aller serveur web ? Comment faire pour configurer le Go serveur web pour utiliser le certificat/clé privée ? Les autres ?
  • Go propres crypto/tls paquet est capable de charger des certificats de clés publiques et privées) à partir de PEM-fichiers au format. Un outil fourni par Let's Encrypt (maintenant, il semble que ce soit plutôt promu par les EFF) est en mesure de vous fournir PEM fichier au format. Donc: 1) de Lire un guide sur l'obtention du certificat de Let's Encrypt et de le faire; 2) une Fois que vous avez ce certificat, de lire sur la façon de faire crypto/tls lire et à mettre en œuvre que dans vos serveurs; 3) Avoir vos serveurs de lire votre cert. Vous avez terminé.
  • Dire que d'une autre manière, il n'y a aucun moyen de "configuration" de votre serveurs, sauf si vous avez déjà mis en place la configuration de boutons pour le faire. Depuis que vous avez très probablement ne l'ont pas encore, vous pourriez faire quelque chose comme les rendant analyser un spécial de l'option de ligne de commande en spécifiant le chemin d'accès du certificat, disons, -cert.
  • infos: rediriger tout le trafic http vers https. stackoverflow.com/questions/37536006/...
InformationsquelleAutor Daniele B | 2016-05-19
  1. 58

    C'est le minimum de configuration automatique d'un serveur HTTPS à l'aide de allons Chiffrer les certificats que j'ai trouvé:

    package main

import (
    "crypto/tls"
    "log"
    "net/http"

    "golang.org/x/crypto/acme/autocert"
)

func main() {
    certManager := autocert.Manager{
        Prompt:     autocert.AcceptTOS,
        HostPolicy: autocert.HostWhitelist("example.com"), //Your domain here
        Cache:      autocert.DirCache("certs"),            //Folder for storing certificates
    }

    http.HandleFunc("/", func(w http.ResponseWriter, r *http.Request) {
        w.Write([]byte("Hello world"))
    })

    server := &http.Server{
        Addr: ":https",
        TLSConfig: &tls.Config{
            GetCertificate: certManager.GetCertificate,
        },
    }

    go http.ListenAndServe(":http", certManager.HTTPHandler(nil))

    log.Fatal(server.ListenAndServeTLS("", "")) //Key and cert are coming from Let's Encrypt
}

    Plus d'informations sur le autocert package: lien

    EDIT: Nécessaires pour faire en sorte que http raison de letsencrypt problème de sécurité, lire la suite ici. En bonus de ce correctif, nous avons maintenant http-->redirection https. Le vieil exemple continuera de fonctionner si vous avez déjà reçu des certificats sur elle, mais il va se casser pour de nouveaux sites.

    • Merci, c'est l'exemple que je cherchais! Mais un as à être prudent en fonction de la documentation: Ce paquet est un travail en cours et ne fait aucune API stabilité promesses.
    • Merci beaucoup! Cela devrait vraiment être sélectionnée comme la réponse correcte.
    • Cela n'inclut pas le .dossier connus, n'est ce pas? Si cet extrait ne comprend à l'aide de certificats, de ne pas les renouveler?
    • Non ceci est le package complet. Si vous exécutez ce code, vous verrez que cela crée un certificat valide. Et puisqu'il peut créer, il peut également mettre à jour. Le serveur, je suis de l'exécution de cette sur a mis à jour le certificat au moins une fois.
    • Il utilise le protocole TLS-SNI défi à disposition le certificat n'est pas le HTTP.
    • Je reçois ces deux poignée de main erreurs et je ne peux pas comprendre ce qu'est le problème: "acme/autocert: manquant nom du serveur" et "acme/autocert: accueil non configuré". Quelqu'un peut-il m'aider s'il vous plaît?
    • Créer un nouveau stackoverflow question où vous collez votre code et je vais avoir un coup d'oeil.
    • Question de création: stackoverflow.com/questions/43161559/...
    • Il n'y a pas une telle méthode certManager.HTTPHandler(néant)
    • Quelle est la version de golang.org/x/crypto/acme/autocert utilisez-vous? Parce que en maître, il semble que la fonction est là: lien
    • oui j'ai compris plus tard

    InformationsquelleAutor Pylinux
  2. 27

    J'ai trouvé une solution très simple, à l'aide de la autonome mode.


    INSTALLER LE CERTBOT CLIENT (recommandé par Let's Encrypt)

    (go to the directory where you want to install the certbot client)
git clone https://github.com/certbot/certbot
cd certbot
./certbot-auto --help`


    DÉLIVRANCE DE CERTIFICAT (PREMIÈRE FOIS)

    N. B. cette opération passe par le port 80, donc dans le cas où votre application est à l'écoute sur le port 80, il doit être éteint avant d'exécuter cette commande (qui est très rapide à exécuter, par la voie)

    ./certbot-auto certonly --standalone-supported-challenges http-01 -d www.yourdomain.com

    AJOUTER LE PROTOCOLE SSL ÉCOUTEUR DANS VOTRE CODE

    http.ListenAndServeTLS(":443", "/etc/letsencrypt/live/www.yourdomain.com/fullchain.pem", "/etc/letsencrypt/live/www.yourdomain.com/privkey.pem", nil)

    Fait!

    DE RENOUVELER le CERTIFICAT (certificats expirent au bout de 90 jours)

    N. B. Vous pouvez l'exécuter manuellement (vous recevrez un e-mail quelques jours avant l'expiration du certificat), ou d'établir une crontab

    si votre application ne permet pas d'écouter le port 80 plus, votre application peut continuer à fonctionner pendant que vous exécutez cette commande:

    ./certbot-auto renew --standalone

    si votre Go app toujours à l'écoute sur le port 80, vous pouvez spécifier les commandes pour arrêter et redémarrer le Go app:

    ./certbot-auto renew --standalone --pre-hook "command to stop Go app" --post-hook "command to start Go app"

    pour la documentation complète de la Certbot commandes:
    https://certbot.eff.org/docs/using.html

    • J'ai eu ce travail trop, mais il a utilisé le dns défi méthode vous permet d'ajouter un enregistrement TXT à votre dns.
    InformationsquelleAutor Daniele B