Добро пожаловать на форум специальных технологий для профессионалов! Это место, где можно обсудить все аспекты современных цифровых технологий для записи видео, включая скрытые камеры, прослушку, аудиозапись, установку, а также шпионское программное обеспечение. Этот форум предназначен для обмена идеями, советами и опытом.
SecuritySpy и Let's Encrypt — автоматическая загрузка новых сертификатов
Раздел: Безопасность
Я хотел бы использовать наше доменное имя в нашем сертификате HTTPS, но, к сожалению, это означает, что я не смогу использовать встроенную поддержку Let's Encrypt в SecuritySpy.
- Рассматривали бы вы возможность использования LE для получения сертификатов для домена пользователя?
- Я могу загрузить certbot с помощью Homebrew и получить сертификаты для своего домена таким образом. Когда сертификат автоматически продлевается - есть ли способ заставить SS перезагрузить веб-сервер новыми? Например, используя опцию certbot '--renew-hook'.
Спасибо, Джеймс.
Войдите или Зарегистрируйтесь чтобы комментировать.
Комментарии
Это можно сделать, создав ссылки на сертификаты LE. Например, запустив как sudo что-то вроде…
определить переменные по мере необходимости…
cd "/opt/local/etc/letsencrypt/live/$theCertName"
/bin/ln -f "fullchain.pem" "$theSecuritySpyFolderPath""fullchain.pem"
/bin/ln -f "privkey.pem" "$theSecuritySpyFolderPath""server.key"
/bin/ln -f "cert.pem" "$theSecuritySpyFolderPath""server.crt"
cd "$theSecuritySpyFolderPath"
/usr/sbin/chown -h "$theUser":staff полнаяцепочка.pem
/usr/sbin/chown -h "$theUser":персонал сервера.ключ
/usr/sbin/chown -h "$theUser":сервер_персонала.crt
Я не использую хуки certbot, а запускаю из другого скрипта. Вам нужно обновлять ссылки каждый раз, когда вы обновляете сертификаты, а затем перезапускать SS. Я делаю это, и, кажется, все работает нормально.
Надеюсь, это будет полезно.
Для этого и предназначена наша утилита Certy . Она позволяет легко генерировать сертификаты LE для SecuritySpy с вашим собственным доменным именем.
Да, вы можете сделать это с помощью certbot или вручную из командной строки, как упоминалось выше, но Certy должен предоставить более простое решение.
@Ben , Certy выглядит хорошо, но мы используем Cloudflare для DNS, так что я не думаю, что это нам подойдет.
@mark Спасибо - я попробую. Зачем вам "обновлять ссылки каждый раз" - это как-то связано с тем, что ссылки жесткие, а не мягкие?
Привет
У меня та же проблема с LE
Вы решили свою проблему?
Я создал ссылку в /Users/MaBiche/SecuritySpy
sudo ln -s /etc/letsencrypt/archive/site.org/cert.pem server.crt
sudo ln -s /etc/letsencrypt/archive/site.org/fullchain.pem fullchain.pem
sudo ln -s /etc/letsencrypt/archive/site.org/privkey.pem server.key
sudo chown -h MaBiche:staff server.crt
sudo chown -h MaBiche:staff fullchain.pem
sudo chown -h MaBiche:staff server.key
это не работает
Идея пожалуйста
Спасибо заранее
С наилучшими пожеланиями
Привет
Я добиваюсь прогресса в решении этой проблемы.
Я видел разные темы
Я перепробовал все, переименовывал все файлы в crt, server.crt и т. д....
«После одобрения заказа центр сертификации предоставит вам ваш сертификат, а также некоторые другие файлы, такие как промежуточные сертификаты. Скопируйте эти файлы в папку SecuritySpy, затем выполните следующие действия:
SecuritySpy сначала ищет основной файл сертификата server.crt , чтобы идентифицировать ваш сервер. Затем он ищет файл ca-bundle , содержащий промежуточные сертификаты, и, наконец, если файл c a-bundle не найден, он использует все остальные файлы crt , которые он найдет, чтобы построить цепочку сертификатов.
Теперь я скопировал файл в /Users/MaBiche/SecuritySpy
sudo cp /etc/letsencrypt/live/site.org/cert.pem server.crt
sudo cp /etc/letsencrypt/live/site.org/fullchain.pem fullchain.pem
sudo cp /etc/letsencrypt/live/site.org/chain.pem chain.pem
sudo cp /etc/letsencrypt/live/site.org/privkey.pem server.key
sudo chown -h MaBiche:staff server.crt
sudo chown -h MaBiche:staff chain.pem
sudo chown -h MaBiche:staff fullchain.pem
sudo chown -h MaBiche:staff server.key
Я перезапустил SecuritySpy и у меня возникла ошибка PR_END_OF_FILE_ERROR
Заранее спасибо за ответ
Я сам несколько раз сталкивался с этой проблемой, но так и не добился успеха, используя мои файлы сертификатов Let's Encrypt.
Я копирую самые новые, непросроченные, фактические файлы сертификатов из letsencrypt/archive. Я использую РЕАЛЬНЫЕ файлы сертификатов, а не ссылки. Я переименовываю их в их базовые имена, удаляя номер, который letsencrypt добавляет в конец имени файла. Кстати, эти же самые файлы сертификатов прекрасно работают на другом веб-сервере здесь.
Это дает мне четыре файла...
cert.pem
chain.pem
fullchain.pem
privkey.pem
Я переименовываю privkey.pem ---> server.key
Я переименовываю cert.pem --> server.crt
Я переименовываю chain.pem --> chain.crt
Я переименовываю fullchain.pem --> fullchain.crt
Я НЕ выполнял команды sudo chown, представленные ранее в этой теме.
Скопируйте эти четыре файла в папку SecuritySpy (при незапущенном SS), затем перезапустите SecuritySpy.
Веб-браузеры немедленно отключаются, если я пытаюсь подключиться.
Журнал SS показывает...
Ошибка настройки SSL для безопасного веб-доступа. Не удалось настроить SSL. Неизвестный формат сертификата или ключа. 6.6,170,-25257
Я использую команду sudo, так как некоторые файлы не имеют нужных прав.
Это можно изменить с помощью команды chmod.
Но, без команды sudo и если я копирую файл в архиве forder в папку security spy, у меня та же проблема, с именем server.key и другими с расширением crt
я не знаю почему
Я попробовал сделать chown, чтобы установить права доступа к файлам. Нет, это не решило проблему.
Похоже, что существует проблема формата между файлами, которые выдает LetsEncrypt, и тем, что ожидает SS.
LetsEncrypt выпускает файлы сертификатов в виде «печатного» текста с шестнадцатеричными данными.
Может быть, SS принимает только двоичные файлы сертификатов?
Возможно...
В логах у меня есть такое сообщение
Ошибка настройки SSL для безопасного веб-доступа. Не удалось настроить SSL. Неизвестный формат сертификата или ключа. 6.6,170,-25257
Спасибо @Snoopy28 за отправку файлов ключей/сертификатов. Похоже, проблема в типе ключа. SecuritySpy принимает ключи RSA, но это ключ ECDSA, и это причина, по которой он не принимается.
Если вы используете certbot, вы можете попросить его создать ключ RSA, добавив ключ --key-type rsa .
Если вы используете другой метод создания ключа, обратитесь к его документации, чтобы узнать, как создать ключ RSA.
Кстати, если у вас есть и «fullchain.pem», и «chain.pem», то вам не нужно включать последний, так как он уже включен в первый.
Мы обновим нашу документацию, указав эти тонкие моменты.
SecuritySpy принимает как .cer/.crt, так и .pem — это касается большинства сертификатов, которые будут созданы такими скриптами, поэтому я не уверен, что здесь может быть не так. Если вы отправите нам свои сертификаты по электронной почте, мы проверим их, чтобы убедиться, что они в формате, который SecuritySpy может понять. Если вы также можете отправить ключ, это будет очень полезно, так как мы можем проверить его формат и убедиться, что он соответствует сертификату — я обещаю, что мы удалим это, как только закончим его просмотр.
Спасибо, Бен. Это та же проблема, с которой я тоже сталкиваюсь.
Глядя на мой сертификат от certbot, это действительно «Elliptic Curve Public Key»
По-видимому, Let's Encrypt и certbot перешли на выпуск ключей ECDSA по умолчанию в 2022 году, поскольку они считали, что ECDSA достаточно широко поддерживается. Поскольку мое основное серверное приложение и веб-браузеры не имели проблем с форматом ECDSA, я так и не понял, что произошло изменение (или, точнее, я даже не знал, что есть сертификат другого формата).
Мне придется подумать, стоит ли использование SecuritySpy по тому же сертификату снижения эффективности RSA по сравнению с ECDSA.
Это большая дилемма.
Однако я попытался с помощью ключа RSA заставить SecuritySpy и мой сервер Apache сосуществовать, но это не сработало.
Я отправил вам сообщение
Заранее спасибо за помощь.
Привет, Snoopy28. Я проверил файлы ключей/сертификатов, которые ты мне отправил, и они работают. Пожалуйста, прочитай мои сообщения, надеюсь, это тебе поможет!
в резюме
у вас должен быть ключ RSA
Вы можете изменить ключ ECDSA, сгенерированный с помощью letsencrypt, на ключ RSA с помощью команды "certbot --key-type rsa"
и скопируйте файл в папку Security
sudo cp /etc/letsencrypt/live/site.org/fullchain.pem /Users/MaBiche/SecuritySpy/.
sudo cp /etc/letsencrypt/live/site.org/privkey.pem /Users/MaBiche/SecuritySpy/server.key
sudo cp /etc/letsencrypt/live/site.org/cert.pem /Users/MaBiche/SecuritySpy/server.crt
sudo chown -h MaBiche:staff /Users/MaBiche/SecuritySpy/fullchain.pem
sudo chown -h MaBiche:staff /Users/MaBiche/SecuritySpy/server*
sudo chmod 644 /Users/Snoopy/SecuritySpy/server.key
спасибо за все
Хотя идеальной ситуацией была бы ситуация, когда сокеты SecuritySpy могли бы обрабатывать сертификаты как RSA, так и ECDSA, я пошел дальше и изменил один сертификат с ECDSA на RSA с помощью команды терминала...
sudo certbot --key-type rsa
LetsEncrypt / certbot затем запрашивает домен, для которого запрашивается сертификат. Затем он обнаруживает, что сертификат ECDSA уже существует, и проверяет, действительно ли вы хотели изменить тип. После подтверждения создается новый сертификат RSA и загружается на Mac, как обычно, четыре файла сертификатов в letsencrypt/archive.
Так как я не использую Apache в качестве своего веб-сервера, а скорее наш внутренний серверный стек Cosalient, я проигнорировал все предупреждения о невозможности установки сертификата в Apache. Сделал свою обычную работу по установке сертификатов в приложении Cosalient, и это сработало без проблем. (Базовые сокеты в Cosalient автоматически обрабатывают сертификаты RSA или ECDSA)
Чтобы подготовить файлы сертификатов для SecuritySpy, я скопировал три необходимых файла в промежуточную папку с помощью Finder. Затем переименовал их как...
cert10.pem ----> сервер.crt
fullchain10.pem ----> цепь.crt
privkey10.pem ----> сервер.ключ
Затем эти переименованные файлы сертификатов были скопированы на мой компьютер SecuritySpy.
Закройте SecuritySpy, скопируйте три файла сертификата в папку SecuritySpy и перезапустите программу.
Это работает, но было бы лучше, если бы в SS работали и сертификаты RSA, и сертификаты ECDSA.
Рад слышать, что у вас обоих все получилось.
Мы рассмотрим поддержку ECDSA в будущем, но я не могу обещать, произойдет ли это/когда, поскольку большинству пользователей не нужно предоставлять собственные сертификаты. Я согласен, что было бы лучше, если бы мы могли поддерживать оба.