Let’s Encrypt: Certify The Web jako náhrada za ACMESharp
V roce 2019 jsem publikoval seriál o používání PowerShell modulu ACMESharp pro generování certifikátů certifikační autority Let’s Encrypt (LE). Doba pokročila a mezitím byl vývoj ukončen. Jaký nástroj jsem vybral místo něj?
Od roku 2018 jsem začal používat PowerShell modul ACMESharp pro generování certifikátů certifikační autority Let’s Encrypt (LE). Doba pokročila a mezitím byl jeho vývoj ukončen. Náhradou je pokračující projekt ACMESharpCore. Nicméně mezitím jsem provedl novou rešerši, jaké produkty jsou k dispozici.
Požadované vlastnosti nástroje
Požadavky jsou téměř stejné, jako dříve:
- Primárně je požadována podpora platformy Windows pro celý proces žádosti a stažení nových certifikátů.
- Možnost exportu certifikátů ve formátu PFX pro Windows (PKCS).
- Možnost ověření žádosti metodou DNS Challenge (TXT záznamy v DNS záznamech u každé z domén).
- Nepoužívat automatizovaný proces instalace certifikátů do systému.
- Nevyžadovat instalovaný IIS.
- Podpora generování certifikátů s více DNS záznamy.
- Vyhnout se požadavku na otevřený port HTTP (TCP 80).
- Podpora API CloudFlare (volitelně).
- Podpora automatizace celého procesu s možností některé kroky přeskočit dle potřeby.
Rozdíl oproti dřívějšku je možnost používat CloudFlare API, protože v některých scénářích jej já a moji zákazníci využíváme.
Proč mi vyhovuje Certify The Web
Z rešerše mi vyšel jako nejkomplexnější nástroj jen Certify The Web, tedy kromě samotného nástupce ACMESharp – ACMESharpCore. V podstatě umí vše co jsem chtěl. Umí toho dokonce víc, podporuje různé certifikační autority, včetně komerčních. Má jedinou vadu a tou je nutnost si jej koupit, pokud jej chci využít v komerčním prostředí. Nicméně po porovnání se všemi ostatními nástroji toho umí opravdu hodně a cena 59 USD za rok je celkem přijatelná.
Co mne potěšilo asi nejvíc je právě podpora CloudFlare API. Zatím to před tím mi celý proces s ruční změnou DNS záznamů pro ověření trval cca 5-10 minut, nyní se celý proces s ověřováním a čekáním na změny vejde do cca 3 minut.
I když to není pro mne podstatné, Certify The Web má velmi pěkné a intuitivní uživatelské rozhraní takže zatím jsem (plnou) automatizaci moc nezkoušel.
Další nástroje
Mezi dalšími nástroji, byl kandidátem v té době Let’s Encrypt WinSimple (dnes se jmenuje Win-ACME). Bohužel neuměl DNS Challenge a vyžadoval IIS. Popisuji stav projektu v 2020/Q4 až 2021/Q2.
Dnes jsem na něj koukal znova a zdá se, že umí to samé co Certify The Web Certify Certificate Manager a navíc zadarmo. Nicméně než jej budu znova hodnotit a zvažovat, myslím, že to ještě pár let potrvá.
Odkazy
- Certify The Web – Certify Certificate Manager (anglicky)
- Seriál o používání PowerShell modulu ACMESharp pro generování certifikátů certifikační autority Let’s Encrypt (LE)
- ACMESharp (anglicky)
- ACMESharpCore (anglicky)