<div dir="ltr"><div class="gmail_extra"><div class="gmail_quote">On Mon, Feb 29, 2016 at 10:53 PM, Bernie Innocenti <span dir="ltr"><<a href="mailto:bernie@codewiz.org" target="_blank">bernie@codewiz.org</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left-width:1px;border-left-color:rgb(204,204,204);border-left-style:solid;padding-left:1ex">Great, thanks for taking care of this and for the update.<br>
<br>
Dumb question: which letsencrypt client are we using? There are a number<br>
of options:<br>
<br>
  <a href="https://community.letsencrypt.org/t/list-of-client-implementations/2103" rel="noreferrer" target="_blank">https://community.letsencrypt.org/t/list-of-client-implementations/2103</a></blockquote><div><br></div><div>We are using the official one.</div><div> </div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left-width:1px;border-left-color:rgb(204,204,204);border-left-style:solid;padding-left:1ex"><br>
<br>
A couple of weeks ago, I wanted to setup letsencrypt for <a href="http://codewiz.org" rel="noreferrer" target="_blank">codewiz.org</a>,<br>
but the official one seemed quite overengineered, so I tried<br>
letsencrypt-nosudo instead. The problem with the nosudo script is that<br>
it's designed for interactive renewal when the user key is kept offline<br>
(a prudent measure, but I'm too lazy for that :-).</blockquote><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left-width:1px;border-left-color:rgb(204,204,204);border-left-style:solid;padding-left:1ex">
<br>
The next ones I'd like to try are:<br>
<br>
  <a href="https://github.com/kuba/simp_le" rel="noreferrer" target="_blank">https://github.com/kuba/simp_le</a><br>
  <a href="https://github.com/lukas2511/letsencrypt.sh" rel="noreferrer" target="_blank">https://github.com/lukas2511/letsencrypt.sh</a><br>
<br></blockquote><div>I would also like to try the first one.</div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left-width:1px;border-left-color:rgb(204,204,204);border-left-style:solid;padding-left:1ex">
<br>
Anyway, I'm shocked by how many weird ways exist to do something as<br>
simple as generating an SSL certificate and getting it signed by a CA<br>
with a challenge. What are your impressions?<br></blockquote><div><br></div><div>Agree. This is the reason because exists a lot of "tiny" and "simple" clients out there. The official one is doing a lot of things.</div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left-width:1px;border-left-color:rgb(204,204,204);border-left-style:solid;padding-left:1ex">
<br>
<br>
On 02/29/2016 11:04 AM, Samuel Cantero wrote:<br>
> Hi,<br>
><br>
> I was testing our access to the .well-known/acme-challenge directory for<br>
> www.slo and nagios.slo. LE must have access to this directory in order<br>
> to validate the domain with a set of challenges (in this case<br>
> provisioning an HTTP resource under this URI). This access wasn't<br>
> working. I fixed it for http and https. Now, we are also forcing https<br>
> for all pages except domain/.well/known-challenge. It was forcing https<br>
> for all pages.<br>
><br>
> In addition, sometime ago we defined in nginx the same directory for the<br>
> acme-challenge for both domains but we forgot to set the same webroot in<br>
> the LE config file for each domain. I also fixed this.<br>
><br>
> I tested all this config with the nagios domain and the certificate was<br>
> renewed successfully. I also changed in the renewal script the renewal<br>
> time. We defined to renew the SSL certificate 15 days before the<br>
> expiration day. I changed this to 30 in order to validate the process<br>
> with the www.slo domain in 3 days. www.slo certificate was issued on<br>
> January 3 and is going to expire on April 2.<br>
><br>
> Best regards,<br>
><br>
> Samuel C.<br>
><br>
> On Fri, Feb 26, 2016 at 10:56 PM, Bernie Innocenti <<a href="mailto:bernie@codewiz.org" target="_blank">bernie@codewiz.org</a><br>
> <mailto:<a href="mailto:bernie@codewiz.org" target="_blank">bernie@codewiz.org</a>>> wrote:<br>
><br>
>     Sam, could you make the renew-certs-le not produce any output when<br>
>     everything goes well and only nag if we need to fix something?<br>
><br>
>     -------- Forwarded Message --------<br>
>     Subject: Cron <root@freedom> test -x /usr/sbin/anacron || ( cd / &&<br>
>     run-parts --report /etc/cron.daily )<br>
>     Date: Fri, 26 Feb 2016 08:00:07 -0500 (EST)<br>
>     From: Cron Daemon <<a href="mailto:root@freedom.sugarlabs.org" target="_blank">root@freedom.sugarlabs.org</a><br>
>     <mailto:<a href="mailto:root@freedom.sugarlabs.org" target="_blank">root@freedom.sugarlabs.org</a>>><br>
>     To: <a href="mailto:root@freedom.sugarlabs.org" target="_blank">root@freedom.sugarlabs.org</a> <mailto:<a href="mailto:root@freedom.sugarlabs.org" target="_blank">root@freedom.sugarlabs.org</a>><br>
><br>
>     /etc/cron.daily/renew-certs-le:<br>
>     The certificate for <a href="http://nagios.sugarlabs.org" rel="noreferrer" target="_blank">nagios.sugarlabs.org</a><br>
>     <<a href="http://nagios.sugarlabs.org" rel="noreferrer" target="_blank">http://nagios.sugarlabs.org</a>> is up to date, no need for<br>
>     renewal (36 days left for renewal).<br>
>     The certificate for <a href="http://sugarlabs.org" rel="noreferrer" target="_blank">sugarlabs.org</a> <<a href="http://sugarlabs.org" rel="noreferrer" target="_blank">http://sugarlabs.org</a>> is up to<br>
>     date, no need for renewal (36<br>
>     days left for renewal).<br>
>     /etc/cron.daily/wizbackup:<br>
>     1456488867:lightwave.sugarlabs.org:0:255<br>
>     run-parts: /etc/cron.daily/wizbackup exited with return code 1<br>
><br>
><br>
>     _______________________________________________<br>
>     Systems mailing list<br>
>     <a href="mailto:Systems@lists.sugarlabs.org" target="_blank">Systems@lists.sugarlabs.org</a> <mailto:<a href="mailto:Systems@lists.sugarlabs.org" target="_blank">Systems@lists.sugarlabs.org</a>><br>
>     <a href="http://lists.sugarlabs.org/listinfo/systems" rel="noreferrer" target="_blank">http://lists.sugarlabs.org/listinfo/systems</a><br>
><br>
><br>
<span><font color="#888888"><br>
<br>
--<br>
 _ // Bernie Innocenti<br>
 \X/  <a href="http://codewiz.org" rel="noreferrer" target="_blank">http://codewiz.org</a><br>
</font></span></blockquote></div><br></div></div>