Automatiske SSL-sertifikater - https://Cert.jcloud.no


Denne tjenesten leverer gyldige SSL-sertifikater samt OCSP stapling data.
Sertifikatene kan brukes på nettsider eller andre tjenester, og er integrert i alle J-programvareløsninger med automatisk overvåking og fornying.
Tjenesten følger med domene-produktet. Domenet ditt må derfor eksistere og leveres av JCloud.

Konfigurasjon

For å konfigurere en J-tjeneste legges følgende i konfigfilen:

certificate_path <mappe der sertifikatene caches>
certificate_secret <passordet til sertifikatet>
certificate_domain <domenet en ønsker sertifikat for>

Når dette er lagt inn blir sertifikatet for domenet automatisk generert, lastet ned, fornyet og overvåket via Loke. Dersom domenet aldri har hatt sertifikat før må ip-adressen til tjenesten stemme med det som domenet resolver til. Passordet blir satt til det som du satt i konfig slik at det må stemme med senere forespørsler.
Merk at noen J-tjenester har i tillegg til dette sitt eget system for automatisering av sertifikater, deriblant WebCDN.


API

Merk at alle J-tjenester benytter dette API'et automatisk. Du trenger kun å bruke dette hvis du IKKE benytter J-tjenester.

URL: https://cert.jcloud.no/?domain=<domenet en ønsker sertifikat for>&secret=<passordet til sertifikatet>

En kan laste ned et sertifikat ved å bestå ett av kravene under

1.
Parameteren secret må stemme med det som allerede ligger inne i systemet. Dersom det tidligere aldri har vært generert noen SSL-sertifikater for domenet en ønsker tillates alle passord første gangen, men domenet en ber om sertifikat til må resolve til IP-adressen som henvendelsen kommer fra. Deretter må alle henvendelser etter dette ha samme secret.


2.
HTTP autentisering (basic/digest). Brukeren må ha tilgang til domenet i domainadmin.


Varighet på sertifikater

Vi bruker Letsencrypt og Buypass. Disse sertifikatene har en varighet på 90 dager. Sertifikat-tjenesten vil returnere det eksisterende sertifikatet for alle henvendelser på samme domenet inntil det har passert 40 dager. Etter 40 dager genereres et nytt sertifikat. Servere som automatisk vil fornye sertifikatet sitt kan scripte at det sjekkes for nytt sertifikat feks 1 gang i uken.


HA-løsninger

Dersom feks 10 webservere peker til den samme websiden kan alle 10 servere settes opp med samme secret og få tilgang til det samme sertifikatet fra sertifikatserveren.




Eksempler


Eksempel-URL for nedlasting av private key + crt

https://cert.jcloud.no/?domain=tullball.no&secret=langtoghemmeligpassord

Nedlasting av bare private key
https://cert.jcloud.no/?domain=tullball.no&secret=langtoghemmeligpassord&type=key

Kun crt/sertifikat
https://cert.jcloud.no/?domain=tullball.no&secret=langtoghemmeligpassord&type=crt

PKCS12 P12-fil (inkluderer intermediate)
https://cert.jcloud.no/?domain=tullball.no&secret=langtoghemmeligpassord&type=pkcs12

Intermediate
https://cert.jcloud.no/?domain=tullball.no&secret=langtoghemmeligpassord&type=intermediate

OCSP
https://cert.jcloud.no/?domain=tullball.no&secret=langtoghemmeligpassord&type=ocsp