Re: [vhffs] support HTTPS

[ Thread Index | Date Index | More vhffs.org/vhffs Archives ]


Salut Laurent,


On Mon, Feb 29, 2016 at 11:29:32PM +0100, Laurent Stella wrote:
> Salut Sylvain ;
> 
> à peine croyable ... je viens de terminer les principales features d'une app
> PHP qui fait sensiblement la même chose : let's encrypt, nginx en front, en
> lien avec VHFFS (mais pas aussi intégré évidement) :
> https://github.com/olaulau/VHFFS_letsencrypt

Ah ah ah, comme quoi :-), faut dire que Let's Encrypt ça commence tout 
juste à être utilisable, c'était difficile de faire quelque chose avant 
pour le support TLS dans VHFFS. J'veux dire, pas besoin de VHFFS pour 
gérer des certifs à la main "à l'ancienne", hormis le fait que ce soit 
pas possible avec un seul vhost comme on le faisait avec juste Apache 
(et que c'est vraiment difficile à ajouter sans se trainer un patch 
énorme à porter).

Sur TuxFamily sans un truc comme Let's Encrypt avec l'auto renew 
scriptable c'était juste pas pensable, on serait alors devenu un 
cimetière de projets morts mais avec en plus des ceriticats expirés.


> j'ai pas trop compris la partie "rediriger les demandes d'auth", perso 
> je lance letsencrypt avec tous les paramètres qui vont bien et ca se 
> fait en une fois (j'ai pas connu d'erreur à part le rate limiting 
> effectivement).

C'est parce que tes robots doivent tourner sur la même machine que 
l'unique serveur web, c'est pas du tout notre cas :-)

On a un truc qui ressemble à ça au final:

-- LB IPVS/LVS ----------.-----> NGINX --> APACHE2
     |                   |       |   `---------<------------.
(early match SNAT)       |-----> NGINX --> APACHE2          |
     |                   |       |   `---------<------------|
     |                   |-----> NGINX --> APACHE2          |
     |                   |       |   `---------<------------|
     |                   `-----> NGINX --> APACHE2          |
     |                           |   `---------<------------|
     |                           |                          |
     |              (match URL /.well-known/...)            |
     |                           |                          |
     |                           v                          |
     '---------------------> ROBOT Let's Encrypt --> TLS CERT STORE


> en tout cas bonne nouvelle si ca arrive sur la prochain version de VHFFS.
> y'aurait pas moyen de savoir quelles sont les prochaines nouveautés à venir,
> qqpart sur le site ?

C'est la seule grande nouveauté, en fait :-) J'vois pas trop trop ce 
qu'on pourrait y faire de plus en restant dans l'esprit du truc.

D'ailleurs, dès que tout est testé pour Jessie et que la bidouille Let's 
Encrypt fonctionne, ça va être l'heure de la release.

On est prêt pour les paquets...
   http://download.tuxfamily.org/vhffs4/debian-jessie/
... y'a plus qu'a, comme on dit ;-)

Sylvain

Attachment: signature.asc
Description: Digital signature



Mail converted by MHonArc 2.6.19+ http://listengine.tuxfamily.org/