[Dutch] https voor geo-webservices met Certbot

classic Classic list List threaded Threaded
6 messages Options
Reply | Threaded
Open this post in threaded view
|

[Dutch] https voor geo-webservices met Certbot

Just van den Broecke
Beste Mensen,

Tegenwoordig verwachten afnemers dat geo-webdiensten bijv WMS en tiles
ook via https beschikbaar zijn. Ook HTML5 functies als Location werken
in bijv Chrome alleen in een https omgeving. Nu is het zelf aanschaffen
en inrichten/beheren van https (certificaten etc) een dure en complexe
bezigheid weet ik uit ervaring.

Nu kwam ik tegen: https://letsencrypt.org en de Certbot van EFF:
https://certbot.eff.org. Dit zou certificaat aanschaf en https-beheer
moeten vereenvoudigen/automatiseren. Heeft iemand daar ervaring mee, met
name in combinatie met geo-appservers als MapProxy/MapServer/GeoServer
met Apache2 op Ubuntu?

Hartelijke groet,

--Just




_______________________________________________
Dutch mailing list
[hidden email]
http://lists.osgeo.org/mailman/listinfo/dutch
Reply | Threaded
Open this post in threaded view
|

Re: [Dutch] https voor geo-webservices met Certbot

Sebastiaan Couwenberg
On 10/03/2016 12:17 PM, Just van den Broecke wrote:

> Tegenwoordig verwachten afnemers dat geo-webdiensten bijv WMS en tiles
> ook via https beschikbaar zijn. Ook HTML5 functies als Location werken
> in bijv Chrome alleen in een https omgeving. Nu is het zelf aanschaffen
> en inrichten/beheren van https (certificaten etc) een dure en complexe
> bezigheid weet ik uit ervaring.
>
> Nu kwam ik tegen: https://letsencrypt.org en de Certbot van EFF:
> https://certbot.eff.org. Dit zou certificaat aanschaf en https-beheer
> moeten vereenvoudigen/automatiseren. Heeft iemand daar ervaring mee, met
> name in combinatie met geo-appservers als MapProxy/MapServer/GeoServer
> met Apache2 op Ubuntu?

certbot werkt goed met simpele VirtualHost configuraties waarbij elke
ServerName zijn eigen configuratie file heeft. Subdomains die redirecten
naar een deeplink met querystring werken niet goed met de automatische
verificatie (en elk subdomain moet apart geverifieerd worden).

Helaas heeft certbot nog geen ondersteuning voor het DNS-01 protocol
waarbij de verificatie plaatsvind mbt DNS records ipv een magic file op
de webserver (ala Google Webmaster Tools). Er is ook het letsencrypt.sh
shellscript wat DNS-01 wel ondersteunt, maar deze vereist meer werk van
de serveradmin dan certbot:

 https://tracker.debian.org/pkg/letsencrypt.sh

Voor mijn eigen domeinen heb ik ervoor gekozen alleen degenen die met
certbot werken te voorzien van HTTPS, en wacht voor de domeinen met
problematische subdomains tot het DNS-01 protocol in certbot wordt
ondersteunt.

Mvg,

Bas

--
 GPG Key ID: 4096R/6750F10AE88D4AF1
Fingerprint: 8182 DE41 7056 408D 6146  50D1 6750 F10A E88D 4AF1
_______________________________________________
Dutch mailing list
[hidden email]
http://lists.osgeo.org/mailman/listinfo/dutch
Reply | Threaded
Open this post in threaded view
|

Re: [Dutch] https voor geo-webservices met Certbot

Martijn Meijers
Ook https://github.com/Neilpang/acme.sh is handig in gebruik.


Martijn


On 03-10-16 12:26, Sebastiaan Couwenberg wrote:

> On 10/03/2016 12:17 PM, Just van den Broecke wrote:
>> Tegenwoordig verwachten afnemers dat geo-webdiensten bijv WMS en tiles
>> ook via https beschikbaar zijn. Ook HTML5 functies als Location werken
>> in bijv Chrome alleen in een https omgeving. Nu is het zelf aanschaffen
>> en inrichten/beheren van https (certificaten etc) een dure en complexe
>> bezigheid weet ik uit ervaring.
>>
>> Nu kwam ik tegen: https://letsencrypt.org en de Certbot van EFF:
>> https://certbot.eff.org. Dit zou certificaat aanschaf en https-beheer
>> moeten vereenvoudigen/automatiseren. Heeft iemand daar ervaring mee, met
>> name in combinatie met geo-appservers als MapProxy/MapServer/GeoServer
>> met Apache2 op Ubuntu?
> certbot werkt goed met simpele VirtualHost configuraties waarbij elke
> ServerName zijn eigen configuratie file heeft. Subdomains die redirecten
> naar een deeplink met querystring werken niet goed met de automatische
> verificatie (en elk subdomain moet apart geverifieerd worden).
>
> Helaas heeft certbot nog geen ondersteuning voor het DNS-01 protocol
> waarbij de verificatie plaatsvind mbt DNS records ipv een magic file op
> de webserver (ala Google Webmaster Tools). Er is ook het letsencrypt.sh
> shellscript wat DNS-01 wel ondersteunt, maar deze vereist meer werk van
> de serveradmin dan certbot:
>
>   https://tracker.debian.org/pkg/letsencrypt.sh
>
> Voor mijn eigen domeinen heb ik ervoor gekozen alleen degenen die met
> certbot werken te voorzien van HTTPS, en wacht voor de domeinen met
> problematische subdomains tot het DNS-01 protocol in certbot wordt
> ondersteunt.
>
> Mvg,
>
> Bas
>

_______________________________________________
Dutch mailing list
[hidden email]
http://lists.osgeo.org/mailman/listinfo/dutch
Reply | Threaded
Open this post in threaded view
|

Re: [Dutch] https voor geo-webservices met Certbot

Anne Blankert
let's encrypt is gratis. Als je een heel simpele opzet hebt (1 webserver, 1 virtual host), dan zijn er scripts die het installeren en  updaten automatisch voor je doen. 
Een voorwaarde is daarbij dat je (web)server aan het openbare internet hangt.

Een let's encrypt certificaat is maar 3 maanden geldig. Eigenlijk is dat meer secure, want als het certificaat in verkeerde handen valt, hebben ze er minder lang plezier van. Elke 3 maanden verlengen kan voor nogal wat overhead zorgen, dus dat wil je dan wel goed hebben geautomatiseerd.

Overigens hoeft een SSL/HTTPS certificaat niet duur te zijn. Een Comodo PositiveSSL certificaat kost 20 euro voor 3 jaar en werkt met alle browsers en apparaten van na 2005 (?). Maar 20 euro is nog altijd meer dan gratis.

Groet,

Anne

Op 3 oktober 2016 12:49 schreef Martijn Meijers <[hidden email]>:
Ook https://github.com/Neilpang/acme.sh is handig in gebruik.


Martijn



On 03-10-16 12:26, Sebastiaan Couwenberg wrote:
On 10/03/2016 12:17 PM, Just van den Broecke wrote:
Tegenwoordig verwachten afnemers dat geo-webdiensten bijv WMS en tiles
ook via https beschikbaar zijn. Ook HTML5 functies als Location werken
in bijv Chrome alleen in een https omgeving. Nu is het zelf aanschaffen
en inrichten/beheren van https (certificaten etc) een dure en complexe
bezigheid weet ik uit ervaring.

Nu kwam ik tegen: https://letsencrypt.org en de Certbot van EFF:
https://certbot.eff.org. Dit zou certificaat aanschaf en https-beheer
moeten vereenvoudigen/automatiseren. Heeft iemand daar ervaring mee, met
name in combinatie met geo-appservers als MapProxy/MapServer/GeoServer
met Apache2 op Ubuntu?
certbot werkt goed met simpele VirtualHost configuraties waarbij elke
ServerName zijn eigen configuratie file heeft. Subdomains die redirecten
naar een deeplink met querystring werken niet goed met de automatische
verificatie (en elk subdomain moet apart geverifieerd worden).

Helaas heeft certbot nog geen ondersteuning voor het DNS-01 protocol
waarbij de verificatie plaatsvind mbt DNS records ipv een magic file op
de webserver (ala Google Webmaster Tools). Er is ook het letsencrypt.sh
shellscript wat DNS-01 wel ondersteunt, maar deze vereist meer werk van
de serveradmin dan certbot:

  https://tracker.debian.org/pkg/letsencrypt.sh

Voor mijn eigen domeinen heb ik ervoor gekozen alleen degenen die met
certbot werken te voorzien van HTTPS, en wacht voor de domeinen met
problematische subdomains tot het DNS-01 protocol in certbot wordt
ondersteunt.

Mvg,

Bas


_______________________________________________
Dutch mailing list
[hidden email]
http://lists.osgeo.org/mailman/listinfo/dutch


_______________________________________________
Dutch mailing list
[hidden email]
http://lists.osgeo.org/mailman/listinfo/dutch
Reply | Threaded
Open this post in threaded view
|

Re: [Dutch] https voor geo-webservices met Certbot

Just van den Broecke
Bedankt voor de antwoorden. Het gaat mij niet direct om de kosten, maar
de handel in certificaten komt mij voor als windhandel, daarom blij
alternatieven te zien....Gaat mij meer om de (versie) beheerbaarheid,
denk aan upgrades.

Wat ik vergeten was te vermelden dat het om minimaal 16 subdomeinen gaat
(denk aan een tileservice met 1..n subtiledomains), meerdere domeinen in
1 Apache2 site-config, dus een wildcard certificate zou meest effectief
zijn. Daar heb ik ervaring mee.

@Anne: ik zie bij https://www.positivessl.com vanaf 49,- p/j...of ik
lees/klik verkeerd. Een wildcard domain cert 199,- p/j. Op zich
goedkoper dan GoDaddy.

mvg,

Just




On 03-10-16 17:20, Anne Blankert wrote:

> let's encrypt is gratis. Als je een heel simpele opzet hebt (1
> webserver, 1 virtual host), dan zijn er scripts die het installeren en
>  updaten automatisch voor je doen.
> Een voorwaarde is daarbij dat je (web)server aan het openbare internet
> hangt.
>
> Een let's encrypt certificaat is maar 3 maanden geldig. Eigenlijk is dat
> meer secure, want als het certificaat in verkeerde handen valt, hebben
> ze er minder lang plezier van. Elke 3 maanden verlengen kan voor nogal
> wat overhead zorgen, dus dat wil je dan wel goed hebben geautomatiseerd.
>
> Overigens hoeft een SSL/HTTPS certificaat niet duur te zijn. Een Comodo
> PositiveSSL certificaat kost 20 euro voor 3 jaar en werkt met alle
> browsers en apparaten van na 2005 (?). Maar 20 euro is nog altijd meer
> dan gratis.
>
> Groet,
>
> Anne
>
> Op 3 oktober 2016 12:49 schreef Martijn Meijers <[hidden email]
> <mailto:[hidden email]>>:
>
>     Ook https://github.com/Neilpang/acme.sh
>     <https://github.com/Neilpang/acme.sh> is handig in gebruik.
>
>
>     Martijn
>
>
>
>     On 03-10-16 12:26, Sebastiaan Couwenberg wrote:
>
>         On 10/03/2016 12:17 PM, Just van den Broecke wrote:
>
>             Tegenwoordig verwachten afnemers dat geo-webdiensten bijv
>             WMS en tiles
>             ook via https beschikbaar zijn. Ook HTML5 functies als
>             Location werken
>             in bijv Chrome alleen in een https omgeving. Nu is het zelf
>             aanschaffen
>             en inrichten/beheren van https (certificaten etc) een dure
>             en complexe
>             bezigheid weet ik uit ervaring.
>
>             Nu kwam ik tegen: https://letsencrypt.org en de Certbot van EFF:
>             https://certbot.eff.org. Dit zou certificaat aanschaf en
>             https-beheer
>             moeten vereenvoudigen/automatiseren. Heeft iemand daar
>             ervaring mee, met
>             name in combinatie met geo-appservers als
>             MapProxy/MapServer/GeoServer
>             met Apache2 op Ubuntu?
>
>         certbot werkt goed met simpele VirtualHost configuraties waarbij
>         elke
>         ServerName zijn eigen configuratie file heeft. Subdomains die
>         redirecten
>         naar een deeplink met querystring werken niet goed met de
>         automatische
>         verificatie (en elk subdomain moet apart geverifieerd worden).
>
>         Helaas heeft certbot nog geen ondersteuning voor het DNS-01 protocol
>         waarbij de verificatie plaatsvind mbt DNS records ipv een magic
>         file op
>         de webserver (ala Google Webmaster Tools). Er is ook het
>         letsencrypt.sh
>         shellscript wat DNS-01 wel ondersteunt, maar deze vereist meer
>         werk van
>         de serveradmin dan certbot:
>
>           https://tracker.debian.org/pkg/letsencrypt.sh
>         <https://tracker.debian.org/pkg/letsencrypt.sh>
>
>         Voor mijn eigen domeinen heb ik ervoor gekozen alleen degenen
>         die met
>         certbot werken te voorzien van HTTPS, en wacht voor de domeinen met
>         problematische subdomains tot het DNS-01 protocol in certbot wordt
>         ondersteunt.
>
>         Mvg,
>
>         Bas
>
>
>     _______________________________________________
>     Dutch mailing list
>     [hidden email] <mailto:[hidden email]>
>     http://lists.osgeo.org/mailman/listinfo/dutch
>     <http://lists.osgeo.org/mailman/listinfo/dutch>
>
>
>
>
> _______________________________________________
> Dutch mailing list
> [hidden email]
> http://lists.osgeo.org/mailman/listinfo/dutch
>



_______________________________________________
Dutch mailing list
[hidden email]
http://lists.osgeo.org/mailman/listinfo/dutch
Reply | Threaded
Open this post in threaded view
|

Re: [Dutch] https voor geo-webservices met Certbot

Anne Blankert
Hallo Just,

xolphin.nl biedt een Comodo positivessl wildcard certificaat vanaf 75 euro per jaar (140 voor 2 jaar, 195 voor 3 jaar), heb ik zelf goede ervaringen mee. De goedkopere certificaten verifiëren/valideren alleen dat je daadwerkelijk eigenaar/beheerder bent van een DNS domein. Uitgebreidere/duurdere certificaten bevestigen ook je bedrijfsnaam (o..a kvk inschrijving wordt gecontroleerd), voor de meest uitgebreide/duurste moet de handtekeningsbevoegde in persoon langs bij een notaris.

Let's Encrypt biedt certificaten van het type domeinvalidatie, dus overeenkomend met het goedkoopste type. Het is me zelf zonder al te veel moeite gelukt om daar testcertificaten aan te vragen en werkend te krijgen met de standaard online handleidingen. Uiteindelijk is dat misschien toch de beste weg, maar zo lang je het automatisch updaten nog niet helemaal geautomatiseerd en getest hebt, is xolphin.nl of een andere certificaatverstrekker met vergelijkbare prijzen volgens mij een redelijk alternatief.

Groet,

Anne

Op 5 oktober 2016 23:19 schreef Just van den Broecke <[hidden email]>:
Bedankt voor de antwoorden. Het gaat mij niet direct om de kosten, maar de handel in certificaten komt mij voor als windhandel, daarom blij alternatieven te zien....Gaat mij meer om de (versie) beheerbaarheid, denk aan upgrades.

Wat ik vergeten was te vermelden dat het om minimaal 16 subdomeinen gaat (denk aan een tileservice met 1..n subtiledomains), meerdere domeinen in 1 Apache2 site-config, dus een wildcard certificate zou meest effectief zijn. Daar heb ik ervaring mee.

@Anne: ik zie bij https://www.positivessl.com vanaf 49,- p/j...of ik lees/klik verkeerd. Een wildcard domain cert 199,- p/j. Op zich goedkoper dan GoDaddy.

mvg,

Just




On 03-10-16 17:20, Anne Blankert wrote:
let's encrypt is gratis. Als je een heel simpele opzet hebt (1
webserver, 1 virtual host), dan zijn er scripts die het installeren en
 updaten automatisch voor je doen.
Een voorwaarde is daarbij dat je (web)server aan het openbare internet
hangt.

Een let's encrypt certificaat is maar 3 maanden geldig. Eigenlijk is dat
meer secure, want als het certificaat in verkeerde handen valt, hebben
ze er minder lang plezier van. Elke 3 maanden verlengen kan voor nogal
wat overhead zorgen, dus dat wil je dan wel goed hebben geautomatiseerd.

Overigens hoeft een SSL/HTTPS certificaat niet duur te zijn. Een Comodo
PositiveSSL certificaat kost 20 euro voor 3 jaar en werkt met alle
browsers en apparaten van na 2005 (?). Maar 20 euro is nog altijd meer
dan gratis.

Groet,

Anne

Op 3 oktober 2016 12:49 schreef Martijn Meijers <[hidden email]
<mailto:[hidden email]>>:

    Ook https://github.com/Neilpang/acme.sh

    <https://github.com/Neilpang/acme.sh> is handig in gebruik.


    Martijn



    On 03-10-16 12:26, Sebastiaan Couwenberg wrote:

        On 10/03/2016 12:17 PM, Just van den Broecke wrote:

            Tegenwoordig verwachten afnemers dat geo-webdiensten bijv
            WMS en tiles
            ook via https beschikbaar zijn. Ook HTML5 functies als
            Location werken
            in bijv Chrome alleen in een https omgeving. Nu is het zelf
            aanschaffen
            en inrichten/beheren van https (certificaten etc) een dure
            en complexe
            bezigheid weet ik uit ervaring.

            Nu kwam ik tegen: https://letsencrypt.org en de Certbot van EFF:
            https://certbot.eff.org. Dit zou certificaat aanschaf en
            https-beheer
            moeten vereenvoudigen/automatiseren. Heeft iemand daar
            ervaring mee, met
            name in combinatie met geo-appservers als
            MapProxy/MapServer/GeoServer
            met Apache2 op Ubuntu?

        certbot werkt goed met simpele VirtualHost configuraties waarbij
        elke
        ServerName zijn eigen configuratie file heeft. Subdomains die
        redirecten
        naar een deeplink met querystring werken niet goed met de
        automatische
        verificatie (en elk subdomain moet apart geverifieerd worden).

        Helaas heeft certbot nog geen ondersteuning voor het DNS-01 protocol
        waarbij de verificatie plaatsvind mbt DNS records ipv een magic
        file op
        de webserver (ala Google Webmaster Tools). Er is ook het
        letsencrypt.sh
        shellscript wat DNS-01 wel ondersteunt, maar deze vereist meer
        werk van
        de serveradmin dan certbot:

          https://tracker.debian.org/pkg/letsencrypt.sh
        <https://tracker.debian.org/pkg/letsencrypt.sh>

        Voor mijn eigen domeinen heb ik ervoor gekozen alleen degenen
        die met
        certbot werken te voorzien van HTTPS, en wacht voor de domeinen met
        problematische subdomains tot het DNS-01 protocol in certbot wordt
        ondersteunt.

        Mvg,

        Bas


    _______________________________________________
    Dutch mailing list
    [hidden email] <mailto:[hidden email]>
    http://lists.osgeo.org/mailman/listinfo/dutch
    <http://lists.osgeo.org/mailman/listinfo/dutch>




_______________________________________________
Dutch mailing list
[hidden email]
http://lists.osgeo.org/mailman/listinfo/dutch




_______________________________________________
Dutch mailing list
[hidden email]
http://lists.osgeo.org/mailman/listinfo/dutch


_______________________________________________
Dutch mailing list
[hidden email]
http://lists.osgeo.org/mailman/listinfo/dutch