DANE (TLSA) avec LEGO, mon grand amour... Ou pas

Ce site est optimisé pour être consulté depuis un navigateur moderne dans lequel JavaScript est activé.

DANE (TLSA) avec LEGO, mon grand amour... Ou pas

Dryusdan

Bonjour 🙂
Avec ce titre non aguicheur, je viens quémender une nouvelle fois de l'aide sur ce forum 🙂

Après avoir mis en place avec success DNSSEC sur mes serveurs et sur mon resolveur, je me suis attaqué à DANE. Et après avoir cherché sur internet, toutes les explications à mon problème que j'ai trouvé sont avec certbot et non lego... Car oui, lego genère pas les certificats de la même façon que certbot.

Donc, j'ai ici mon sous domaine que je veux passer avec DANE. Pour que je puisse mettre à jour automatiquement mes clés publiques sans tout casser (la clé privée ne change pas), j'ai décidé (avec de l'aide) d'utiliser la suite 3 1 2 (ou 3 1 1 si vraiment sha512 pose soucis).

La clé publique est contenu dans un .crt et la clé privée dans un .key, je fais donc un openssl x509 -noout -in domain.tld.crt -fingerprint -sha512 | sed "s/://g" puis j'ajoute dans mon DNS : _443._tcp.domain.tld. IN TLSA 3 0 1 8ab50bf7621262fa794ec7e583... comme indiqué partout.

Sauf que mon .crt possède deux block dedans (représenté par le BEGIN BLOCK) et que tout cela ne fonctionne pas :/

Avez vous une idée d'où est ce que cela coince ?

Merci d'avance 🙂

laster13

Dryusdan Bonjour,

Je suis sur mon tél, la réponse sera succinte d autant que je suis en réunion

Si tu utilises let'encrypt tu dois extraire le fingerprint de la clé fullchain

Dryusdan

laster13 Bonjour 🙂

Mais la clé fullchain est généré par certbot, lego ne génère pas de clé fullchain, ou alors c'est le .crt (je sais plus a quoi ressemble la clé fullchain)

Dryusdan

laster13 Une excellente piste même ! le chain c'est le petit et le cert le gros morceau du cert

Et c'est le cert ou le chain où je dois faire un fingerprint ? 🤔 vu que tu disais toi même > laster13 tu dois extraire le fingerprint de la clé fullchain

🤔

laster13

Juste pour comprendre comme je n'ai jamais utilisé lego, quelle est la difference par rapport a certbot?

Par ailleurs si tu décidais de changer de fusil d’épaule, et en considerant que tu as installé DNS autoritaire avec NSD/DNSSEC docker avec le tuto de @Hardware, j'ai ecrit un tuto pour la mise en place des enregistrements TLSA en renew automatique (pas que ca d 'ailleurs, rotation automatique des cles DNSSEC etc ..) avec un lien vers le script de @Hardware
https://mondedie.fr/d/10326-tuto-certificat-wildcard-et-serveur-dns-autoritaire-nsd-dnssec-docker.
Même si ça correspond pas a la lettre à tes besoins, tu peux le réadapter

Dryusdan

Lego génère deux fichiers, un .key avec la clé privée ( -----BEGIN EC PRIVATE KEY----- ) et un fichier .crt avec deux -----BEGIN CERTIFICATE----- le premier étant plus long que le deuxième. Lego gère aussi diverse certificat et ne renew pas forcément la clé privée (d'ou ma volonter d'utiliser 3 1 2) 🙂
Sur le coup c'est pas sur docker mais j'utilise bien nsd et les scripts de @Hardware

Mince, les clés DNSSEC change souvent ? 🤔 ( j'avais pas compris ça comme ça ^^ )

Merci pour le lien 😊

laster13

Oui par mesure de securité il est preconisé de changer regulierement les cles DNSSEC

Les clés doivent être remplacées régulièrement. On parle de key-rollover. Plus souvent pour la ZSK, qui est plus petite et surtout qui n'est pas publiée dans les DNS de niveau supérieur (donc plus facile à remplacer).

Je vous conseille un remplacement des ZSK tous les 6 mois et un remplacement de la KSK tous les 2 ans. Ceci est bien entendu à ajuster en fonction de la criticité de votre domaine (et du temps dont vous disposez).

Source : https://blog.blaisot.org/dnssec-intro.html

Me concernant et étant donné que mon script permet de le faire en mème temps que la génération des certificats j'ai choisis de changer les clés en même temps, comme ca j'ai pas besoin de m'en occuper 😉

Quand au fait que ce soit pas NSD docker c'es t pas grave ca fonctionne quand mème, si tu n'est pas chez gandi tu as juste a ne pas lancer le script de mise a jour du fingerprint chez Gandi, peut être tu peux le remplacer par un autre correspondant a ton registrar

Dryusdan

laster13 Script remplaçant chez OVh (vu que leurs interfaces est pas pratique va falloir que je script avec leurs api x)) mais en python c'est cool 🙂

J'ai plus qu'à comprendre où je dois pomper le fingerprint de ma clé pour dane

laster13

Oui grace a l'api de Gandi j'ai pu écrire le script python et ca fonctionne super bien. Tu dois pouvoir faire la meme chose avec l'api ovh

Dryusdan J'ai plus qu'à comprendre où je dois pomper le fingerprint de ma clé pour dane

Ou utiliser certbot 😁

Edit si tu arrives a écrire un script python pour OVH, préviens moi comme ca je pourrais le rajouter au tuto ca peut etre sympa pour ceux qui sont chez ovh

Dryusdan

laster13 Ou utiliser certbot 😁

Ouai non, mes quelques serveurs utilise lego et ça fonctionne bien :p (et certbot faut pas couper genre nginx et tout ? Il utilise pas webroot 🤔

laster13

Dryusdan faut pas couper genre nginx

Non absolument pas et ce grace à l'enregistrement acme dans le fichier de zone, pas de wbroot non plus. le script fait juste un reload une fois le taf effectué, après je comprends que dans le soucis de ne pas changer la config de tous tes serveurs tu ne veuilles pas changer.

Apres, moyen recussif et barbare, essaye d'extraire un fingerprint de toutes les clés que tu as, y en a bien une qui va marcher d'autant que la mise a jour dns de tlsa est quasi instantanée tdonc tu peux tester autant de fois que necessaire

Dryusdan

laster13 Oui mais j'ai deux clés dans un fichier crt :p donc là ça va coincer
Mais c'est ce que je vais faire merci 🙂

laster13

https://mondedie.fr/d/8112-LEGO-client-acme-supportant-ecdsa-letsencrypt

@xataz a écrit

Seul défaut, c'est qu'il ne crée pas le cert et le chain, mais seulement un fullchain. Il suffira de le séparer en deux.

peut etre une piste

laster13

Oui j'ai dit ca mais @Hardware utilise le cert
https://mondedie.fr/d/10307-certificat-classique-ou-wildcard/19

En fait j'avais suivi ce tuto https://jesuisadmin.fr/comment-avoir-une-excellente-configuration-https-en-2017/
qui préconisait le fullchain et ca marchait aussi du coup je sais plus .. maintenant comme j'utilise le script de @Hardware ca marche aussi avec le cert

Dryusdan

En cassant tous ça semble donc marcher 🤔

Mais acme.sh semble sympa aussi

Merci pour tes réponses 🙂

laster13

Le seul truc gênant est pour le renew automatique, tu seras obligé de refaire la manip manuellement a chaque changement de certificat

Dryusdan

laster13 Tu veux dire pour séparer les certificats du fullchain ? Un coup de script et c'est réglé 😇 je crois que @xataz avait réussi dans son image reverse nginx à séparer les chaines 🙂

Hardware

Si ça peut vous aider, j'ai une astuce pour spliter automatiquement un fullchain.pem 😃

awk -v path="/chemin/ou/se/trouve/le/cert" 'BEGIN {c=0;} /BEGIN CERT/{c++} { print > path"/cert" c ".pem"}' < fullchain.pem

Ensuite il y a aura 2 fichiers cert1.pem et cert2.pem. J'utilise ça pour le serveur mail, parce que certains utilisent lego. C'est utile aussi pour Traefik.

cert1.pem = cert.pem
cert2.pem = chain.pem

Dryusdan

Hardware Ho cool, merci 😃

Dryusdan

Hum, je reviens à la charge, j'ai bien séparé les deux certificats. Le chain renvoie une erreur instant (heureusement), j'ai testé avec la commande : openssl x509 -noout -in cert1.pem -fingerprint -sha512 | sed "s/://g" | sed "s/SHA512 Fingerprint=//g" et openssl x509 -noout -in cert1.pem -fingerprint -sha256 | sed "s/://g" | sed "s/SHA256 Fingerprint=//g" sur le cert2.pem et le cert1.pem (j'ai tout testé), mais l'extension TLSA validator extention dit toujours que c'est invalide...

dryusdan@moi dig +nocmd +noall +answer TLSA _443._tcp.alltube.drycat.fr
_443._tcp.alltube.drycat.fr. 3002 IN	TLSA	3 1 2 7B137893A61EA47A1A9676BB9D782CAF417DCFDF5592C01429A228CF 138C388819957FC250E5E1EFB73349314C44D7553A77F65695BA384E FADF311E4BB2FCC5
dryusdan@moi dig +nocmd +noall +answer TLSA _443._tcp.alltube.drycat.fr
_443._tcp.alltube.drycat.fr. 3448 IN	TLSA	3 1 2 2E1E12DACB350E69317A7F37D769F46F16F437CF8D392319279C9351 5E5600BAED3D3ACD5DC83B673E8C60CF7FBA0DCE00A4D162A3B966A3 EBF72487C376FCA0
dryusdan@moi dig +nocmd +noall +answer TLSA _443._tcp.alltube.drycat.fr
_443._tcp.alltube.drycat.fr. 3489 IN	TLSA	3 1 1 A7F55851581938AB948C3451E9E86111DB72CDFAB5467D88A07A32F7 76960D64

Si vous avez une idée 🙂

Page suivante »