機能 #408
完了機能 #369: kagamidai 用の TLS 証明書管理
step-ca で CA を作成
100%
ファイル
nop_thread さんが5ヶ月前に更新
- 進捗率 を 0 から 70 に変更
立てたには立てたが、動作確認をできていない。
web サーバ側のことを考えていて、 Debian で楽に管理できそうな ACME クライアントがないため (certbot も古いのでつらそう)、 SSL termination をする reverse proxy 側でビルトインの ACME クライアントがあるもの (Caddy とか Traefik とか) を選ぶべきかなと思い始めている。
最終手段としては step-cli を入れて証明証を取ってくるという手もあるにはあるが……
nop_thread さんが5ヶ月前に更新
Caddy からの自動取得と各種ブラウザ (Firefox on Linux, curl on Linux, wget on Linux, Firefox on Android, Chrome on Android) からのアクセスが確認できた。
Firefox (Linux) では証明書を追加するだけでなく「信頼性を設定」から「この証明書をウェブサイトの識別に使用する」にチェックを入れる必要がある。
Firefox Android については Adding custom certificate authorities to Firefox on Android - kcore.org での手順でシステムの CA ストアを使うよう設定する必要がある。
nop_thread さんが5ヶ月前に更新
- ステータス を 進行中 から 終了 に変更
- 進捗率 を 70 から 100 に変更
- 前回確認日 を 2024/06/16 から 2024/06/17 に変更
nop_thread さんが5ヶ月前に更新 · 編集済み
Step CA セットアップ時に環境変数 STEPPATH=/etc/step-ca 等でパスを与えないと $HOME を使われてしまう (そして設定ファイルにその絶対パスに依存する値が入ってしまう) ことと、セットアップ後に ACME provisioner の有効化が必要であることに注意。
ACME provisioner は STEPPATH=/etc/step-ca step ca provisioner add acme --type ACME で有効化できる (cf. ACME Basics) が、そもそも step ca init 時に --acme オプションを与えてやることでまとめて済ますこともできたらしい (https://github.com/smallstep/cli/issues/577)。