Generování (HTTPS) certifikátů a správa domén

Veškerý síťový provoz dneska běží šifrovaně - k tomu jsou potřeba certifikáty a dobře nastavené DNS. Nejde jenom o web a http; šifruje se i mailování, websockety a MQTT.

V současti to funguje, že v rámci hostingu (shipard.app) existuje nějaký seznam domén a certifikátů a víceméně automaticky se ty certifikáty obnovují a distribuují mezi servery.

Hlavní problém, který to má, je že všechny domény musí být u Shipardu. Zatím to až tak moc nevadilo, ale začíná to být dost omezující až nepříjemné, protože:

  1. Ne vždy je možné tu doménu převést k Shipardu, občas je potřeba rozjet něco na doméně třetího řádu - a to je dneska v podstatě nereálné.
  2. Začíná být velký problém s doménou pro řízení sítě - tam je potřeba definovat hodně věcí v DNS. Dneska všichni používají doménu shipard.pro a když chtějí upravit DNS, musí poprosit mne nebo Libora.

Začínám to vidět jako do budoucna nereálné a zamýšlím se, co s tím.

Myslím si, že je potřeba to celé decentralizovat a umožnit komukoliv vlastní správu domén a certifikátů. To by šlo udělat dvěma způsoby - měly by fungovat oba dva:

  1. Pokud bude mít někdo vlastní hosting, může si to všechny databáze rozjet tam.
  2. Asi by to mělo být i součástí modulů pro správu sítě - tj. měl bych být schopen si vymyslet vlastní doménu, vygenerovat k ní hvězdičkový certifikát a použít to celé pro řízení sítě.

Uvědomuji si, že dneska rozjet DNS není až tak úplně jednoduché - a dobře fungující DNS (třeba v google cloudu) není zadarmo. Ale dá se to zdokumentovat a reálné to je (pro člověka co něco málo ví).

Vůbec netuším, jestli je tu dneska někdo, koho to trápí a chtěl by provozovat vlastní hosting nebo spravovat větší množtví sítí.

jestli jsem to správně pochopil, tak by v modulu správa sítě, byla možnost vložit doména a k ní naimportovat třeba i koupený certifikát (nejen automaticky generovaný přes letsencrypt)? obdobně jako se ukládá certifikát EET?

O takový certifikát by se správce samozřejmě musel starat a když by měl expirovat, tak by si jej musel zaktualizovat…

Ne, certifikáty by se samy generovaly tak, jak se generují teď. Ale doména by byla tvoje a DNS by sis spravoval taky sám.

Dneska je to tak, že kdyby sis chtěl něco rozjet sám (web, hosting nebo síť), tak v podstatě nemáš šanci.

U té sítě je to hodně nepříjemné - tam nejsi schopný sám udělat vůbec nic, protože když si nemůžeš nastavit záznamy v DNS, tak nic nevyzkoušíš (viz LM krabička funguje, ale svítí červená vlajka).

Prostě ten stájacící systém je dobrý, když se člověk stará o zákazníky, kteří chtějí funkční službu, platí za to peníze a zajímá je jenom to, aby to celé fungovalo.
Ale pro jiné situace je to nepoužitelné.

Ještě to upřením: generovalo by se to v rámci toho konkrétního zdroje dat, kde by se to evidovalo. Tj. zapomeň úplně na to, že existuje něco jako shipard.app.

Možná jsem to napsal zbytečně složitě.

Moje hlavní otázka v podstatě zní: dokážete si někdo představit, že se o ty (svoje a svých zákazníků) domény a certifikáty budete chtít sami starat?

Pokud budete provozovat vlastní hosting, budete muset. Ale co ty weby a správa sítí?

Tak já odpovím, že se mě nechce se o to starat, že mě vyhovuje, že to je vše na Shipardu, ale pokud by jsi to potřeboval testovat i mimo Shipard, tak bych se obětoval :slight_smile:

Já bych řekl, že je jednodušší vykomunikovat změnu záznamu v DNS se Shipardem, než si to celé řešit sám. Možná se časem situace změní, ale nyní bych se do toho nepouštěl.