+7 (495) 320-70-49
- Назад
- Телефоны
- +7 (495) 320-70-49
- Заказать звонок
info@proxmox.su
Москва, Бакунинская улица, 69с1
Пн-Пт: 09-00 до 18-00
Сб-Вс: выходной

Let’s Encrypt — оставлять ключ для обновленных сертификатов?, Proxmox Mail Gateway

hk@

Guest

01.08.2022 15:15:00

Привет, чтобы можно было зафиксировать TLS-соединение на приёмной стороне PMG, было бы замечательно иметь возможность настроить ACME-сертификат так, чтобы при его обновлении сохранялся приватный ключ. Заранее спасибо, hk

jochenfroehlich

Guest

03.02.2023 08:08:00

Привет, у меня такая же проблема. Хотелось бы зафиксировать приватный ключ. В Ubuntu это можно сделать, отредактировав /etc/letsencrypt/cli.ini и добавив reuse-key = true в конфиг. Так мои TLSA DNS-записи не нужно менять каждые 90 дней. Есть ли способ сделать это на PMG?

Stoiko Ivanov Guest	#3 0 07.02.2023 09:46:00 Я этого явно не проверял, но, по-моему, реализация ACME в PMG и PVE обычно повторно использует ключ. Просто попробуй сам.

jochenfroehlich Guest	#4 0 07.02.2023 10:20:00 Привет, при последнем продлении сертификата ключ изменился. Мои TLSA-записи больше не действительны. Не мог бы ты проверить это и у себя, на всякий случай? Спасибо, Йохен.

Stoiko Ivanov

Guest

07.02.2023 18:49:00

Извините, моя ошибка! Ключ генерируется каждый раз при заказе сертификата: https://git.proxmox.com/?p=proxmox-...=ac1f71eddb6564dc56110eb1a713a92809318525#l35. Можно рассмотреть вариант переключения на фиксацию CA для проверки (использование сертификата 0 согласно https://en.wikipedia.org/wiki/DNS-based_Authentication_of_Named_Entities). Либо можно использовать другой ACME-клиент, который сохраняет ключ для продлений. Надеюсь, это поможет!

jochenfroehlich

Guest

07.02.2023 21:04:00

Было бы здорово, если бы в PMG можно было настроить автоматическую регенерацию ключа (включить/выключить). Указание значения 0 для использования сертификата снижает безопасность, так как тогда будут разрешены и другие сертификаты, например, от lets encrypt. Поскольку доля сертификатов lets encrypt на рынке очень высокая, для меня это не имеет смысла (немного другое дело, если вы используете свой собственный доверенный CA). Лично я бы предпочёл встроенный в PMG ACME-клиент для удобства.

Спасибо за вашу поддержку.

Stoiko Ivanov

Guest

08.02.2023 10:36:00

Некоторые могут утверждать, что долгое повторное использование ключа сертификата снижает безопасность. Насколько мне известно, DANE так и не получил большого распространения и используется не широко (к счастью, теперь TLS для SMTP поддерживается в большинстве почтового трафика). Понимаю вашу точку зрения — если хотите, можете создать запрос на улучшение на https://bugzilla.proxmox.com, тогда другие, кто тоже этого хочет, смогут поддержать идею. Но на данный момент я бы не считал это приоритетной задачей для реализации.

Cristian Seres Guest	#8 0 14.09.2023 08:03:00 Я отправил запрос на добавление этой функции. Ошибка 4958.

antonin.chadima Guest	#9 0 22.03.2025 06:18:00 С нетерпением жду эту функцию. DANE TLS начинает становиться обязательным по закону в ЕС для исследовательских организаций...

Читают тему

Главная Каталог 0 Корзина 0 Избранные Кабинет 0 Сравнение Акции Контакты Услуги Бренды Отзывы Компания Лицензии Документы Реквизиты Поиск Блог Обзоры