Package: lacme (0.8.3-1)

ACME-klient skrevet med tanke på procesisolering og minimale privilegier

Lacme er en ACME-klient, der kan bruges til at forespørge X.509-certifikater fra ACME-tjenesteleverandører, såsom Let's Encrypt eller ZeroSSL. Arkitekturen er opdelt i fire komponenter, hver med deres egne kørebare filer.

 * En proces til at håndtere kontonøglen og udstede SHA-256-underskrifter
   krævet for hver ACME-kommando. (Denne proces bindes til en
   UNIX-domænesokkel for at svare til underskriftforespørgsler fra ACME-
   klienten). Man kan bruge UNIX-domænesoklens videresendelsesfunktioner
   for OpenSSH 6.7 og senere for at afvikle denne proces på en anden vært.

 * En »overproces«, som afvikles som administrator (root) og er den eneste
   komponent med adgang til det private nøglemateriale for servernøglerne.
   Bruges til at forgrene ACME-klienten (og valgfrit ACME-netserveren)
   efter drop af administratorprivilegier. Til certifikatudstedelse
   oprettes også Certificate Signing Requests, validiteten verificeres for
   det udstedte certifikat og valgfrit genindlæses eller genstartes
   tjenester.

 * En faktisk ACME-kilent, som bygger ACME-kommandoer og dialoger med den
   eksterne ACME-server. Da ACME-kommandoer skal være underskrevet med
   kontonøglen, så sender »hovedprocessen« UNIX-domænesoklen for
   kontonøglehåndteringen til ACME-klienten: Der forespørges om
   dataunderskrifter ved at skrive dataene til underskrift til soklen.

 * For certifikatudstedelser, er der en valgfri netserver, som udsendes
   fra »overprocessen« når ingen tjenester lytter på HTTP-porten. (den
   eneste challenge-type understøttet er »http-01«, som kræver en
   netserver for at besvare challenges). Den netserver behandler kun GET-
   og HEAD-forespørgsler under URI'en »"/.well-known/acme-challenge/«.
   Som standard bliver nogle iptables(8)-regler automatisk installeret
   for at åbne HTTP-porten og fjernes efterfølgende.

This page is also available in the following languages (How to set the default document language):