{"id":1550,"date":"2016-05-04T10:57:16","date_gmt":"2016-05-04T10:57:16","guid":{"rendered":"http:\/\/esferas.org\/msqlu\/?p=1550"},"modified":"2016-05-04T10:57:20","modified_gmt":"2016-05-04T10:57:20","slug":"distribuyendo-certificados-digitales","status":"publish","type":"post","link":"https:\/\/esferas.org\/msqlu\/2016\/05\/04\/distribuyendo-certificados-digitales\/","title":{"rendered":"Distribuyendo certificados digitales &#8230;"},"content":{"rendered":"<p>&#8230; entre m\u00e1quinas de la red interna. Sigo d\u00e1ndole vueltas.<\/p>\n<p><!--more--><\/p>\n<p>Las primeras pruebas de creaci\u00f3n de certificados y renovaci\u00f3n han sido satisfactorias. Los scripts funcionan y lo \u00fanico que me preocupa y me tiene parado es c\u00f3mo distribuirlos de forma segura. Vale, es una red interna y no es tan dif\u00edcil realizar transferencias de archivos entre m\u00e1quinas; instalarlas con los permisos adecuados ya es otra cosa un poco m\u00e1s dudosa. El problema es que no siempre van a estar dentro de una red. Es muy posible que alguna termine fuera de la empresa en breve y en ese caso, y sin recurrir a montar redes privadas, es mejor plante\u00e1rmelo con m\u00e1s claridad.<\/p>\n<p>Por ahora he visto lo siguiente:<\/p>\n<ul>\n<li>No es necesario que en las m\u00e1quinas secundarias (aquellas que s\u00f3lo emplean los certificados) \u00e9stos est\u00e9n en la misma localizaci\u00f3n que en la m\u00e1quina que los renueva. En \u00e9sta existen el condicionante del programa cliente que espera encontrarlos en un sitio concreto pero en las secundarias no es as\u00ed.<\/li>\n<li>En demasiados casos me he encontrado con que es necesario realizar tareas adicionales tras renovar certificados. Reiniciar servidores es muy sencillo, efectuar copias secundarias no tanto. En cualquier caso no basta con transferrir los archivos y se hace necesario ejecutar programas con privilegios muy altos.<\/li>\n<\/ul>\n<p>Uno de mis famosos esquemas para aclararme:<\/p>\n<p><a href=\"http:\/\/esferas.org\/msqlu\/wp-content\/uploads\/sites\/12\/2016\/05\/distribuci\u00f3n-de-certificados-1.png\"><img loading=\"lazy\" decoding=\"async\" class=\"wp-image-1552 size-large aligncenter\" src=\"http:\/\/esferas.org\/msqlu\/wp-content\/uploads\/sites\/12\/2016\/05\/distribuci\u00f3n-de-certificados-1-1024x724.png\" width=\"660\" height=\"467\" srcset=\"https:\/\/esferas.org\/msqlu\/wp-content\/uploads\/sites\/12\/2016\/05\/distribuci\u00f3n-de-certificados-1.png 1024w, https:\/\/esferas.org\/msqlu\/wp-content\/uploads\/sites\/12\/2016\/05\/distribuci\u00f3n-de-certificados-1-300x212.png 300w, https:\/\/esferas.org\/msqlu\/wp-content\/uploads\/sites\/12\/2016\/05\/distribuci\u00f3n-de-certificados-1-768x543.png 768w\" sizes=\"auto, (max-width: 660px) 100vw, 660px\" \/><\/a>Para el caso de la transferencia el programa <em>scp<\/em> va sobrado. El problema es c\u00f3mo instalarlos correctamente una vez que han sido transferidos. La cuenta que recibe dichos archivos es <em>osr<\/em> (operador de sistema remoto) y como tal es capaz de ejecutar tareas administrativas.<\/p>\n<p>As\u00ed que voy a crear un programa espec\u00edfico al que llamar\u00e9 <code>receive-new-certs<\/code> y que haga lo siguiente:<\/p>\n<ol>\n<li>Mover los nuevos archivos al directorio de explotaci\u00f3n: <code>\/etc\/ssl\/letsencrypt.<\/code><\/li>\n<li>Alterar la propiedad (<code>root<\/code>) y los permisos adecuados (<code>0440<\/code>).<\/li>\n<li>Reiniciar servicios (porque ya que estamos para qu\u00e9 perder m\u00e1s tiempo).<\/li>\n<\/ol>\n<p>Voy a probar a ver si puede ser algo tan <em>sencillo<\/em> o no. Y es que tocar archivos que se est\u00e1n empleando en vivo lo mismo me descubre nuevas sensaciones administrativas.<\/p>\n<p>Ah, y de paso le cambio el nombre al otro programa. De <code>sync-letsencrypt<\/code> a <code>send-new-certs<\/code>. Mola.<\/p>\n","protected":false},"excerpt":{"rendered":"<p>&#8230; entre m\u00e1quinas de la red interna. Sigo d\u00e1ndole vueltas.<\/p>\n","protected":false},"author":1,"featured_media":0,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"_import_markdown_pro_load_document_selector":0,"_import_markdown_pro_submit_text_textarea":"","webmentions_disabled_pings":false,"webmentions_disabled":false,"footnotes":""},"categories":[14],"tags":[18,554,556],"class_list":["post-1550","post","type-post","status-publish","format-standard","hentry","category-internet","tag-administracion-de-sistemas","tag-lets-encrypt","tag-letsencrypt-sh"],"_links":{"self":[{"href":"https:\/\/esferas.org\/msqlu\/wp-json\/wp\/v2\/posts\/1550","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/esferas.org\/msqlu\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/esferas.org\/msqlu\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/esferas.org\/msqlu\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/esferas.org\/msqlu\/wp-json\/wp\/v2\/comments?post=1550"}],"version-history":[{"count":0,"href":"https:\/\/esferas.org\/msqlu\/wp-json\/wp\/v2\/posts\/1550\/revisions"}],"wp:attachment":[{"href":"https:\/\/esferas.org\/msqlu\/wp-json\/wp\/v2\/media?parent=1550"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/esferas.org\/msqlu\/wp-json\/wp\/v2\/categories?post=1550"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/esferas.org\/msqlu\/wp-json\/wp\/v2\/tags?post=1550"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}