Конфигурация HTTPS с сертификатом от Минцифры

Конфигурация HTTPS с сертификатом от Минцифры

Третьего дня потратил достаточно много времени на установку на данном сайте сертификата от Минцифры.А поскольку сертификат краткоживущий (90 дней) — заметка мне самому пригодится на будущее.

Началось всё с того, что я с удивлением обнаружил, что на госуслугах теперь можно выпустить сертификат для домена физлицу.Это меня обрадовало, хотя ранее я приунывал что нет никакой альтернативы простым смертным. Теперь есть. Закрывайте буржуйнет.

Поехали!

1. Идём сюда: https://www.gosuslugi.ru/627603/1/form
2. По приведенной инструкции генерируем файл запроса сертификата. Вкратце так (только вместо neonxp.ru указываем свой домен):

   openssl req -out neonxp.ru.csr -new -subj "/C=RU/CN=neonxp.ru" -addext "keyUsage = digitalSignature, keyEncipherment" -addext "subjectAltName=DNS: neonxp.ru" -addext "extendedKeyUsage = serverAuth" -newkey rsa:2048 -nodes -keyout neonxp.ru.key
   

   Важно! Нужно сохранить файл ключа neonxp.ru.key в надежном месте. Если он попадет в чужие руки — нужно будет отзывать сертификат и начинать всё заново!SAN и Wildcard пока не поддерживается, но что имеем — то и имеем. Но по слухам таки будут, как минимум SAN.
3. Полученный файл csr загружаем там же на госуслуги
4. Ждём не долго (реально недолго, у меня прислали сертификат буквально через несколько минут!)
5. В ответ придёт файл с рандомным названием. Сохраняем его туда, где лежат другие файлы под названием “домен.crt”
6. Скачиваем корневой и промежуточные сертификаты:

   wget https://gu-st.ru/content/Other/doc/russian_trusted_root_ca.cerwget https://gu-st.ru/content/Other/doc/russian_trusted_sub_ca.cer`````
   

7. Преобразуем скачанный сертификат в формат PEM:

   openssl x509 -in neonxp.ru.crt -out neonxp.cer -outform PEM
   

8. Соединяем свой сертификат и минцифровские в один бандл:

   cat neonxp.cer russian_trusted_sub_ca_pem.cer russian_trusted_root_ca_pem.cer > chain.cer
   

9. Используем полученный бандл и сгенерированный в пункте 2 файл ключа в конфигурации вебсервера. У меня используется Caddy, поэтому мой конфиг выглядит так:

   neonxp.ru:443 {
       tls /data/ssl/chain.cer /data/ssl/neonxp.ru.key
       ...
   }
   

В общем-то, всё. Как настанет время продлевать — я дополню заметку деталями именно продления. Если будут вопросы — пишите, попробуем решить.

Немного мыслей о TLS (HTTPS) в России

Немного мыслей о TLS (HTTPS) в России

Накопилось немного мыслей относительно того, что может грозить нам (и мне) в связи с трендом на “балканизацию” рунета.

И самое болезненное место — HTTPS который нынче стандарт де-факто в современных интернетах. А болезненное оно потому, что целиком и полностью контролируется другой стороной нынешного противостояния. Все доверенные удостоверяющие центры принадлежат странам “коллективного запада”. Помню, были ещё какие-то китайские, вроде, но с ними был какой-то скандал и не факт что они есть.

Импортозамещение Gist

Импортозамещение Gist

И в догонку к комментариям, запустил на своём серваке свой аналог Gist’ов от GitHub.

Вот и он: gist.neonxp.ru

Пользуйтесь 🙂

Другие мои проекты

GitRepo.ru

GitRepo.ru

Сегодня серьезно переделал свой хостинг репозиториев кода:

• Переехал на большой арендованный сервак
• Привел в порядок оркестрацию вокруг сервака с использованием Docker Compose
• Gitea заменил на её форк Forgejo
• Впилил CI/CD на основе Woodpecker CI

Приглашаю пользоваться заместо бездуховного западного github: https://gitrepo.ru/

Сервер физически находится в датацентре в Москве у весьма годного провайдера Selectel.

Тем более, время сейчас неспокойное и неизвестно когда github станет недоступен для РФ, а GitRepo — он вот тут, в нашей стране.

Golang подборка 1

Golang подборка 1

Просто собираю подборку интересных ссылок по гошке на почитать потом.

• Extra — Моё. Пакет с разными полезными функциями без дополнительных зависимостей.
• Серия видосов про создание игры в стиле Animal Crossing на golang с помощью raylib — https://www.youtube.com/watch?v=iWp-mCIQgMU&list=PLVotA8ycjnCsy30WQCwVU5RrZkt4lLgY5&index=1
• Самописный распределенный типа Postgres https://notes.eatonphil.com/distributed-postgres.html. Под капотом raft от hashicorp, boltdb и самое интересное — парсинг SQL
• Рассчет расстояния между двумя Geo точками:

import "math"
...
// https://en.wikipedia.org/wiki/Haversine_formula
func GetDistance(lat1, lon1, lat2, lon2 float64) float64 { 
    lat1 *= math.Pi / 180 
    lon1 *= math.Pi / 180 
    lat2 *= math.Pi / 180 
    lon2 *= math.Pi / 180 
    return 12742 * math.Asin(math.Sqrt(math.Pow(math.Sin((lat2-lat1)/2), 2)+math.Cos(lat1)*math.Cos(lat2)*math.Pow(math.Sin((lon2-lon1)/2), 2)))
}

• god — Утилита подгатавливающая демоны из go программы. Для меня ценное — что генерит systemd конфиги.

Немного о цифровой гигиене

Немного о цифровой гигиене

Вступление

Как раз вступление тут особо и не нужно. Ни для кого не открою америки, что в современном цифровом обществе все мы являемся товаром для интернет-медиа гигантов, того же фейсбука да гугла. Не скажу что это для меня, как личности опасно или вредно, но мне это неприятно. Решил с этим что-то делать.

Вводные

• В интернетах я уже очень давно и много где и как “наследил” своими данными. И с этим уже ничего не поделать.
• У меня в телефоне и на всех компьютерах куча приложений работающих с интернетом, и не только мессенджеры.
• У меня достаточно узкий круг людей с кем бы я хотел быть на связи, и не хочу чтобы мои действия как-то ухудшили или усложнили их жизнь.
• Вопрос анонимности для меня не стоит, я не анонимен и это моё осознанное решение. Я законопослушный человек и прятаться мне не от кого. И да, я знаю что этот тезис стараниями либерах нынче пытаются выставить как глупость, но нет. Глупость — это слушать либерах, а не иметь свою голову на плечах. И контртезис “Гы гы гы, ну раз тебе нечего скрывать — поставь камеру у себя в спальне и ванной” даже комментировать не буду в силу его ущербности.
• Я пользователь техники Apple и с этим уже ничего не поделать, менять целиком экосистему для меня не вариант (это очень дорого, бессмысленно, а местами и невозможно, например, рабочий мак мне поменять не на что). И да, есть наивная надежда что у яблок в плане приватности всё получше чем у ведроидов. Во всяком случае по сравнению со стоком. Гиковские прошивки с вырезанными зондами в расчет не беру, верю что у них совсем всё хорошо.

Цели

1. Уменьшить информационный шум вокруг себя и тем самым улучшить качество жизни.
2. Уменьшить свой “информационный след”
3. Иметь больше контроля над своими данными, чтобы мои волосы стали мягкими и шелковистыми.

Наброски плана

1. Перейти максимально на собственные ресурсы, которые я контролирую и которые точно не сливают ничего налево.Примерно так: социалки => https://soc.neonxp.ru/ , GitHub => https://gitrepo.ru/ , Облачные диски => локальный NAS Synology и т.д.
2. Мне надо сократить мессенджеры в идеале до одного, не считая корпоративного рабочего. Тут всё просто — оставляю Telegram, остальные сношу.
3. Мне надо отказаться от неэтичных социальных сетей, где я не могу полностью контролировать свои данные.
4. При отказе от социальных сетей чтобы не доставить проблем моим контактам надо оставить “новый адрес” по которому со мной можно связаться и, например, этот пост. Я не хочу чтобы для всех мои действия были прозрачны и понятны, а не “молча удалиться” оставив кого-то в недоумении.
5. Везде где возможно отключить или заблокировать телеметрию, чтобы как можно меньше моих данных неконтролируемо утекало. Да, полностью не перекрыть, но сократить возможно.
6. Для связи с “миром” оставить только e-mail как наиболее удобный асинхронный метод коммуникации.

Дальнейшие шаги

1. Превратить наброски плана в цельный план. Написать манифест? Возможно.
2. Подготовить “визитку” с актуальными контактами и объяснением что произошло. Причем как в виде изображения, так и текста.
3. Вышеуказанную визитку поместить на уже неактуальных для меня местах обитания (инстаграм, вк и проч). Удаляться не хочу. Жалко контент за столько лет, да и пункт 3 предыдущего абзаца.
4. Удалить “лишние” приложения от вышеуказанных сервисов.
5. Разлогиниться в этих сервисах и очистить браузеры от них, чтобы исключить треккинг на сторонних сайтах.
6. ?????
7. PROFIT!

Обратная связь

Очень бы хотелось получить обратную связь по моему плану. Комментарии про то что упустил и предложения улучшений приветствуются в комментариях к посту, в комментариях к телеграм каналу, или на почту a.kiryukhin@mail.ru (кстати, стоит наверное и почту перевести к себе? Но пока уровень сервиса врядли смогу адекватный обеспечить)

Jsonnet

Jsonnet

Редко такое бывает, что случайно натыкаешься на какую-то технологию и она вызывает вау-эффект и буквально переворачивает всё верх дном. На днях для меня такой технологией стал Jsonnet от Google.

В кратце, это надмножество JSON являющееся языком описания шаблонов. Пока звучит не очень круто, да? На деле это офигенный Тьюринг полный функциональный язык, результатом выполнения которого будет сформированый JSON (и не только) документ(или несколько документов¹).

Если интересно, рекомендую сразу переходить к туториалу — https://jsonnet.org/learning/tutorial.html.