+7 495 320-55-52
- Назад
- Телефоны
- +7 495 320-55-52
- Заказать звонок
info@mikrotik.moscow
г. Москва, ул. Бакунинская, 84
Пн-Пт: 09-00 до 18-00
Сб-Вс: выходной

Автоматическое обновление сертификата Let's Encrypt в ROS v7

Автоматическое обновление сертификата Let's Encrypt в ROS v7, RouterOS

mszru

Guest

11.03.2023 14:48:00

Привет! Я думал, что сертификат, сгенерированный командой ниже, будет обновляться автоматически, но этого не произошло. У меня он только что истёк, и я не вижу никаких признаков входящих подключений на порт 80. Сервисы www и www-ssl запущены, порт 80 открыт для хостов Let’s Encrypt:
/certificate enable-ssl-certificate dns-name=my.domain.com

В терминале вижу, что сертификат просрочен (флаг E). WinBox показывал его как действительный, пока я не перезапустил приложение.
> /certificate/print
Flags: K - PRIVATE-KEY; E - EXPIRED; T - TRUSTED
Columns: NAME, COMMON-NAME, SUBJECT-ALT-NAME
# NAME COMMON-NAME SUBJECT-ALT-NAME
0 T dns-nextdns-io.pem_0 USERTrust ECC Certification Authority
1 KET letsencrypt-autogen_2022-12-11T14:48:10Z <removed>.ddns.net DNS:<removed>.ddns.net

Стоит ли мне снова запустить /certificate/enable-ssl-certificate, чтобы удалить просроченный сертификат и сгенерировать новый?

hennotaht Guest	#2 0 20.01.2024 18:47:00 Где я могу найти документацию по опциям enable-ssl-certificate? Мне нужно настроить его на использование тестового сервера, чтобы отлаживать скрипт, не сталкиваясь с ограничениями по количеству запросов.

kevinds Guest	#3 0 21.01.2024 23:33:00 Как? Let’s Encrypt не публикует свои серверы.

mszru Guest	#4 0 22.01.2024 00:26:00 Мне кажется, ты так не сможешь. В документации сказано, что «dns-name» — единственный доступный вариант для этой команды.

kevinds

Guest

22.01.2024 00:42:00

Цитата
Let’s Encrypt и правила фаервола с динамическим списком адресов

Круто. Учитывая их упорство в том, чтобы никогда не раскрывать свой список серверов, я удивлён, что они так легко его выдают... Думаю, стоит копнуть в это глубже. Мне очень интересно, почему их IP постоянно попадают в мои автоматические черные списки, если список точен, то, наверное, получится их лучше отследить.

mszru

Guest

22.01.2024 00:52:00

Я следовал видеоинструкциям MikroTik, где предлагалось создать список адресов и использовать его в правиле фаервола для порта 80. У меня это не сработало, поэтому я удалил список адресов, создал скрипт, который открывает порт прямо перед обновлением сертификата и сразу же закрывает после, а затем настроил его на запуск каждые 90 дней.

kevinds

Guest

22.01.2024 00:55:00

Я настроил вторую систему — контейнер или VPS, который находится за NAT на роутере. Она занимается обновлением и с помощью хука отправляет данные на RouterOS. Моя проблема с адресным списком в том, что непонятно, полный ли он, добавили ли туда новые FQDN серверов.

hennotaht Guest	#8 0 22.01.2024 14:02:00 [tvv@MikroTik] /certificate> enable-ssl-certificate append as-value dns-name do duration interval once without-paging Что делают эти опции?

mszru Guest	#9 0 22.01.2024 22:13:00 Это стандартные опции, которые вы можете найти практически в любой команде печати. Посмотрите раздел «параметры печати» на странице справки по скриптам. Они никак не связаны с сертификатами или Let’s Encrypt.

Читают тему

Главная Каталог 0 Корзина 0 Избранные Кабинет 0 Сравнение Акции Контакты Услуги Бренды Отзывы Компания Лицензии Документы Реквизиты Поиск Блог Обзоры