porządki...

ogarnięcie nowej rzeczywistości (w szczególności na nowym miejscu) nie jest proste. wszystko jest jeszcze bardzo świeże, a jednocześnie tak doskonale znane :) wiecie może, że prowizorki trzymają się świetnie latami a zaczynają od prostego 'tylko na chwilę'? no właśnie :)

tak czy inaczej, grudniowe początki zaczęły się od prawdziwego horroru związanego z podniesieniem mojego serwera pocztowego z FreeBSD 9-STABLE (właśnie się zEoLował) do 11-STABLE. tradycyjny make buildworld; make kernel KERNCONF=server; mergemaster -FiU; make installworld; reboot nie dało rady, z jakiegoś powody (WTF?!) zadziałało za to na dokładnie tych samych źródłach make buildworld buildkernel; make installkernel itd. jak powyżej - problemem był z jakiegoś powodu cam.c (multiple warnings treated as error przy redefinicji jednej ze zmiennych.

drugą, daleko już spóźnioną sprawą było odświeżenie certyfikatów - zaczynając od tego do szyfrowania WWW (StartCom się skompromitował). okazało się, że port pod FreeBSD oczywiście jest, ale... w coś 5 wersjach, z których każda wymaga dwupiętrowych zależności. pkg pokazywało jakieś dramatyczne ilości rzeczy do wymiany więc doszedłem do konsensusu z certbot - wspierany przez EFF, wymaga zatrzymania na chwilę swojej usługi (z jakiegoś powodu plugin nginxa, który w notce post-install jest oznaczany jako 'soon' nadal nie jest dostępny), ale działa. jak? prosto:

pkg install py27-certbot
 ! jak znam życie, już jutro znowu zmienią jego nazwę...
service nginx stop
 ! zatrzymujemy serwis nginx żeby bezpiecznie podmienić
 ! certyfikaty z konfiguracji
certbot certonly --standalone -d moja.domena.com
 ! oczywiście każdy wstawia własną... ważne, że musi być
 ! osiągalna z internetu; można wstawić więcej za kolejnymi
 ! -d [druga] -d [trzecia] etc

pozostaje odpowiedzieć na pytanie o mail ratunkowy, zaakceptować politykę użycia (po jej przeczytaniu!) i cieszyć się świeżymi certyfikatami.

domyślnie lądują one w specjalnie utworzonym na tą okazję katalogu:

/usr/local/etc/letsencrypt/live/moja.domena.com/

Poprawka w konfiguracji nginx'a wymagana jest w dwóch miejscach - dla potomności, cała ważniejsza część sekcji SSL:

    ssl on;
    ssl_certificate /usr/local/etc/letsencrypt/live/moja.domena.com/fullchain.pem;
    ssl_certificate_key /usr/local/etc/letsencrypt/live/moja.domena.com/privkey.pem;

    ssl_prefer_server_ciphers on;
    ssl_protocols TLSv1 TLSv1.1 TLSv1.2;
    ssl_ciphers 'ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:DHE-DSS-AES128-GCM-SHA256:kEDH+AESGCM:ECDHE-RSA-AES128-SHA256:ECDHE-ECDSA-AES128-SHA256:ECDHE-RSA-AES128-SHA:ECDHE-ECDSA-AES128-SHA:ECDHE-RSA-AES256-SHA384:ECDHE-ECDSA-AES256-SHA384:ECDHE-RSA-AES256-SHA:ECDHE-ECDSA-AES256-SHA:DHE-RSA-AES128-SHA256:DHE-RSA-AES128-SHA:DHE-DSS-AES128-SHA256:DHE-RSA-AES256-SHA256:DHE-DSS-AES256-SHA:DHE-RSA-AES256-SHA:AES128-GCM-SHA256:AES256-GCM-SHA384:AES128-SHA256:AES256-SHA256:AES128-SHA:AES256-SHA:AES:CAMELLIA:DES-CBC3-SHA:!aNULL:!eNULL:!EXPORT:!DES:!RC4:!MD5:!PSK:!aECDH:!EDH-DSS-DES-CBC3-SHA:!EDH-RSA-DES-CBC3-SHA:!KRB5-DES-CBC3-SHA';
    ssl_session_cache shared:SSL:10m;

pozostaje odpalić nginx'a znowu:

service nginx start

i świat stał się bezpieczniejszy. teraz pozostaje jeszcze odświeżyć te od poczty... a potem zautomatyzować zarządzanie wszystkimi FreeBSD za pomocą właściwych narzędzi. ale o tym - wkrótce.

Łukasz Bromirski

Read more posts by this author.