11 octubre, 2019 by .deb

Calibre congelado en Debian testing

Me he topado con este mensaje en mi último update en Debian testing:

calibre (4.0.0+really3.48.dfsg-1) unstable; urgency=medium

Due to the removal of Python 2 from Debian, support for necessary modules
to run Calibre >= 4.0.0 are not available.

We recommend users to use upstream Calibre packages to obtain new
features and security fixes, until upstream together with plugin
authors switch to Python3. Until that point Calibre in Debian will be
frozen at the last 3.NN version (3.48) and no further features or security
fixes can be applied.

— Norbert Preining <[email protected]> Sun, 06 Oct 2019 09:31:44 +0900

Que viene a decir que dado que se va a eliminar Python 2 de Debian, no habrá actualizaciones ni parches de seguridad en Calibre, que queda congelado en la versión 3.48 hasta nueva orden.

Como alternativa, se pueden descargar los binarios de la web de Calibre (versión 4.1.0).

3 julio, 2019 by .deb

Tres lecciones que aprender del caso Huawei

Creo que a estas alturas nadie es ajeno al caso Huawei. Es un ejemplo tan bueno de porqué debemos utilizar software libre que me voy a permitir reproducir aquí, en castellano, las tres lecciones que podemos aprender de todo esto según la FSFE (el original es de la Newsletter Digest de la FSFE, Vol 98, Issue 1).

El software libre permite controlar la tecnología: cuanto más importante es la tecnología en nuestras vidas, más importante se torna el uso de software libre.
La Unión Europea confía en exceso en proveedores extranjeros de tecnología: la Unión Europea y sus estados miembros deberían invertir en el desarrollo de software libre y enfocarse en apoyar organizaciones y negocios locales que fomentan el uso de software libre.
El software libre otorga independencia económica a las empresas: la empresa que utiliza software propietario depende del proveedor de software y por tanto del gobierno del país que lo regula. La mejor estrategia para evitar esta dependencia es utilizar software libre en el mayor número de puntos de la cadena de suministro.

Podéis leer más aquí.

20 mayo, 2019 by Diego Martínez Castañeda

instalando mattermost en debian stretch

¡Me encanta el olor a software libre por las mañanas! Y más cuando una aplicación privativa que me gusta se vuelve un dolor de muelas por sus restricciones. Entonces es el momento de buscar alternativas de software libre.

mis requerimientos

open source
alternativa a slack
multiplataforma: linux, windows, android…
sin limitaciones en cuanto a mensajes, ficheros, etc…
instalable en un servidor que ya esté funcionando con otros servicios

el caso

Slack, la plataforma para facilitar el trabajo en equipo es una herramienta muy útil pero, cuando llevas un tiempo utilizándola en su versión gratuíta empiezan a aparecer los problemas, como no poder recuperar conversaciones porque has excedido el máximo y sólo te muestra las últimas diez mil. Y un día, sin saber cómo, te encuentras abriendo duckduckgo y buscando 'slack open source alternatives'. Y ahí es cuando descubres Mattermost.

las alternativas

Mattermost es una alternativa a slack pero de software libre, su misión es la misma, su interfaz es terriblemente similar y no tiene las limitaciones de aquella pero no es la única alternativa. Durante un tiempo barajé la opción de zulip pero tiene un requerimiento que choca frontalmente con los míos:

Requirements

To run a Zulip server, you will need:

* A dedicated machine or VM

Requirements

To run a Zulip server, you will need:

* A dedicated machine or VM

(Zulip Requirements)

Mis servidores son limitados y por eso trato de aglutinar en ellos servicios similares y, en este caso, ni quería ni podía utilizar una máquina para la mensajería.

La única desventaja que le vi a Mattermost es que utiliza nginx como proxy inverso y yo utilizo apache pero se puede cambiar fácilmente, como veremos.

instalación de mattermost

Todo el proceso descrito en esta entrada se ha obtenido de la documentación oficial de Mattermost.

creación de la base de datos

El servidor de bases de datos también está instalado y configurado por lo que únicamente tendremos que crear una base de datos y un usuario nuevos.

sudo mysql -u root -p -e "CREATE DATABASE mattermost; GRANT ALL ON mattermost.* TO 'matter'@'localhost' IDENTIFIED BY 'SuperSecurePassW0rd!';"

1 2	sudo mysql -u root -p -e "CREATE DATABASE mattermost; GRANT ALL ON mattermost.* TO 'matter'@'localhost' IDENTIFIED BY 'SuperSecurePassW0rd!';"

Estos datos de conexión se utilizarán más adelante al configurar el Driver de Mattermost.

Mattermos, al fin

Instalaremos Mattermost en /opt y apuntaremos el virtual host de apache2 a ese directorio.

wget -c https://releases.mattermost.com/5.10.0/mattermost-5.10.0-linux-amd64.tar.gz
tar xvfz mattermost-5.10.0-linux-amd64.tar.gz
sudo mv mattermost /opt/mattermost
rm -f mattermost-5.10.0-linux-amd64.tar.gz
sudo mkdir /opt/mattermost/opt
cd /opt/mattermost

sudo useradd --system --user-group mattermost
sudo chown -R mattermost:mattermost /opt/mattermost
sudo chmod -R g+w /opt/mattermost

if [ `grep -c '"DriverName": "mysql"' /opt/mattermost/config/config.json` != '1' ] ; then
echo "el DriverName no es MySQL"
exit 1
fi

sudo sed -i 's|mmuser:mostest@tcp(dockerhost:3306)/mattermost_test|matter:SuperSecurePassW0rd!@tcp(127.0.0.1:3306)/mattermost|' /opt/mattermost/config/config.json

sudo -u mattermost /opt/mattermost/bin/mattermost ### si falla, leer más abajo

echo "[Unit]
Description=Mattermost
After=network.target
After=mysql.service
Requires=mysql.service

[Service]
Type=notify
ExecStart=/opt/mattermost/bin/mattermost
TimeoutStartSec=3600
Restart=always
RestartSec=10
WorkingDirectory=/opt/mattermost
User=mattermost
Group=mattermost
LimitNOFILE=49152

[Install]
WantedBy=multi-user.target" | sudo tee -a /lib/systemd/system/mattermost.service

sudo systemctl daemon-reload
sudo systemctl status mattermost.service
sudo systemctl start mattermost.service
sudo systemctl enable mattermost.service

wget http://localhost:8065 -O - ### tiene que mostrar una web

wget -c https://releases.mattermost.com/5.10.0/mattermost-5.10.0-linux-amd64.tar.gz

tar xvfz mattermost-5.10.0-linux-amd64.tar.gz

sudo mv mattermost /opt/mattermost

rm -f mattermost-5.10.0-linux-amd64.tar.gz

sudo mkdir /opt/mattermost/opt

cd /opt/mattermost

sudo useradd --system --user-group mattermost

sudo chown -R mattermost:mattermost /opt/mattermost

sudo chmod -R g+w /opt/mattermost

if [ `grep -c '"DriverName": "mysql"' /opt/mattermost/config/config.json` != '1' ] ; then

echo "el DriverName no es MySQL"

exit 1

sudo sed -i 's|mmuser:[email protected](dockerhost:3306)/mattermost_test|matter:[email protected](127.0.0.1:3306)/mattermost|' /opt/mattermost/config/config.json

sudo -u mattermost /opt/mattermost/bin/mattermost ### si falla, leer más abajo

echo "[Unit]

Description=Mattermost

After=network.target

After=mysql.service

Requires=mysql.service

[Service]

Type=notify

ExecStart=/opt/mattermost/bin/mattermost

TimeoutStartSec=3600

Restart=always

RestartSec=10

WorkingDirectory=/opt/mattermost

User=mattermost

Group=mattermost

LimitNOFILE=49152

[Install]

WantedBy=multi-user.target" | sudo tee -a /lib/systemd/system/mattermost.service

sudo systemctl daemon-reload

sudo systemctl status mattermost.service

sudo systemctl start mattermost.service

sudo systemctl enable mattermost.service

wget http://localhost:8065 -O - ### tiene que mostrar una web

la columna de una tabla es demasiado grande

Si falla y da este error, {"level":"error","ts":1557928148.6244338,"caller":"sqlstore/supplier.go:811","msg":"Failed to create index Error 1709: Index column size too large. The maximum column size is 767 bytes."}, cambiar configuración en mariadb:

sudo sed -i '/# this is only for embedded server/i \\# added for mattermost\ninnodb_default_row_format=dynamic\ninnodb_file_format=barracuda\ninnodb_file_per_table=true\ninnodb_large_prefix=true\n' /etc/mysql/mariadb.conf.d/50-server.cnf
sudo /etc/init.d/mysql restart

sudo sed -i '/# this is only for embedded server/i \\# added for mattermost\ninnodb_default_row_format=dynamic\ninnodb_file_format=barracuda\ninnodb_file_per_table=true\ninnodb_large_prefix=true\n' /etc/mysql/mariadb.conf.d/50-server.cnf

sudo /etc/init.d/mysql restart

`apache2`

Crear el subdominio matter.example.com apuntando al servidor donde lo vas a instalar. En mi caso, en dicho servidor ya hay un apache funcionando y no necesito instalar software adicional. En caso de utilizar, como recomienda Mattermost, nginx tendría dos servicios operando sobre el mismo puerto y eso no termina bien nunca.

A partir de esta modificación, apache no sólo funcionará como servidor web sino que también hará de proxy inverso para redirigir el tráfico al puerto que escucha Mattermos, el 8065.

Creamos el VirtualHost para Mattermost, en principio vacío y luego, tras solicitar el certificado a letsencrypt, con la configuración de proxy.

echo "#&lt;ifmodule mod_ssl.c="">
#  &lt;virtualhost _default_:443="">
#    ServerName            matter.example.com
#    ServerAdmin           webmaster@matter.example.com
#    ErrorLog              /matter.example.com_error.log
#    TransferLog           /matter.example.com_access.log
#
#    SSLEngine             on
#    SSLCertificateFile    /etc/letsencrypt/live/matter.example.com/fullchain.pem
#    SSLCertificateKeyFile /etc/letsencrypt/live/matter.example.com/privkey.pem
#    SSLProtocol           TLSv1 TLSv1.1 TLSv1.2 -SSLv2 -SSLv3
#    SSLHonorCipherOrder   On
#    SSLCipherSuite        AES256+EECDH:AES256+EDH
#
#    ProxyPreserveHost     On
#    ProxyRequests         Off
#    ProxyPass             / http://127.0.0.1:8065/
#    ProxyPassReverse      / http://127.0.0.1:8065/
#
#    RewriteEngine         on
#    RewriteCond          %{REQUEST_URI} ^/api/v4/websocket [NC,OR]
#    RewriteCond          %{HTTP:UPGRADE} ^WebSocket$ [NC,OR]
#    RewriteCond          %{HTTP:CONNECTION} ^Upgrade$ [NC]
#    RewriteRule          .* ws://127.0.0.1:8065%{REQUEST_URI} [P,QSA,L]
#    RewriteCond          %{DOCUMENT_ROOT}/%{REQUEST_FILENAME} fg
#    RewriteRule          .* http://127.0.0.1:8065%{REQUEST_URI} [P,QSA,L]
#
#    &lt;location api="" v4="" websocket="">
#      Require all granted
#      ProxyPassReverse http://127.0.0.1:8065
#      ProxyPassReverseCookieDomain 127.0.0.1 matter.example.com
#    &lt;/location>
#    &lt;location>
#      Require all granted
#      ProxyPassReverse http://127.0.0.1:8065
#      ProxyPassReverseCookieDomain 127.0.0.1 matter.example.com
#    &lt;/location>
#  &lt;/virtualhost>
#&lt;/ifmodule>
&lt;virtualhost *:80="">
ServerName    matter.example.com
DocumentRoot  /var/www/matter.example.com
#  Redirect      permanent / https://matter.example.com/
&lt;/virtualhost>" | sudo tee --append /etc/apache2/sites-available/matter.example.com.conf

sudo /etc/init.d/apache2 restart
sudo certbot certonly --apache --agree-tos -m no@email.org -d matter.example.com.conf
sudo sed -i 's/^#//' /etc/apache2/sites-available/matter.example.com.conf
sudo a2enmod proxy
sudo a2enmod proxy_balancer
sudo a2enmod proxy_http
sudo a2enmod proxy_wstunnel
sudo a2ensite matter.example.com.conf
sudo /etc/init.d/apache2 restart

echo "#<ifmodule mod_ssl.c="">

# <virtualhost _default_:443="">

# ServerName matter.example.com

# ServerAdmin [email protected]

# ErrorLog /matter.example.com_error.log

# TransferLog /matter.example.com_access.log

# SSLEngine on

# SSLCertificateFile /etc/letsencrypt/live/matter.example.com/fullchain.pem

# SSLCertificateKeyFile /etc/letsencrypt/live/matter.example.com/privkey.pem

# SSLProtocol TLSv1 TLSv1.1 TLSv1.2 -SSLv2 -SSLv3

# SSLHonorCipherOrder On

# SSLCipherSuite AES256+EECDH:AES256+EDH

# ProxyPreserveHost On

# ProxyRequests Off

# ProxyPass / http://127.0.0.1:8065/

# ProxyPassReverse / http://127.0.0.1:8065/

# RewriteEngine on

# RewriteCond %{REQUEST_URI} ^/api/v4/websocket [NC,OR]

# RewriteCond %{HTTP:UPGRADE} ^WebSocket$ [NC,OR]

# RewriteCond %{HTTP:CONNECTION} ^Upgrade$ [NC]

# RewriteRule .* ws://127.0.0.1:8065%{REQUEST_URI} [P,QSA,L]

# RewriteCond %{DOCUMENT_ROOT}/%{REQUEST_FILENAME} fg

# RewriteRule .* http://127.0.0.1:8065%{REQUEST_URI} [P,QSA,L]

# <location api="" v4="" websocket="">

# Require all granted

# ProxyPassReverse http://127.0.0.1:8065

# ProxyPassReverseCookieDomain 127.0.0.1 matter.example.com

# </location>

# <location>

# Require all granted

# ProxyPassReverse http://127.0.0.1:8065

# ProxyPassReverseCookieDomain 127.0.0.1 matter.example.com

# </location>

# </virtualhost>

#</ifmodule>

ServerName matter.example.com

DocumentRoot /var/www/matter.example.com

# Redirect permanent / https://matter.example.com/

</virtualhost>" | sudo tee --append /etc/apache2/sites-available/matter.example.com.conf

sudo /etc/init.d/apache2 restart

sudo certbot certonly --apache --agree-tos -m no@email.org -d matter.example.com.conf

sudo sed -i 's/^#//' /etc/apache2/sites-available/matter.example.com.conf

sudo a2enmod proxy

sudo a2enmod proxy_balancer

sudo a2enmod proxy_http

sudo a2enmod proxy_wstunnel

sudo a2ensite matter.example.com.conf

sudo /etc/init.d/apache2 restart

Tras ejecutar estos comandos tendremos un nuevo virtual host redirigiendo el tráfico al puerto de Mattermost, adornado con un bonito certificado de Let’s Encrypt.

Configuración de `mattermost`

Ahora sólo nos queda abrir el navegador en https://matter.example.com y configurar el usuario administrador. También es necesario configurar el servidor de correo según el apartado Configuring Mattermost Server.

6 mayo, 2019 by Diego Martínez Castañeda

[Truco] cambiar la contraseña de una partición cifrada en debian stretch

Se nos llena la boca (a mí el primero) diciendo que tenemos que cifrar los dispositivos de almacenamiento, sobre todo los portátiles y los discos duros externos, para luego tener una única contraseña durante toda la vida útil del dispositivo.

En mi trabajo no tengo instalado linux en la estación de trabajo por directrices de la empresa pero, en cambio, sí que tengo una máquina virtual con VirtualBox que utilizo como sistema operativo principal, tanto que tengo un montón de alarmas de vbox para que no le de tantos recursos :-D. La cuestión es que el volumen de esa máquina virtual está cifrado desde el momento en que instalé debian y, pasado cierto tiempo, toca cambiar la frase de paso.

Cambiar la contraseña de LUKS puede hacerse mediante gnome-disks (en el paquete gnome-disk-utility) o, más fácil, desde la consola.

Lo primero es saber sobre qué partición quieres actuar, porque se puede dar el caso de que tengas varias particiones cifradas, incluso con diferentes contraseñas (ese es un nivel de paranoia al que aún no he llegado).

diego@pierre:~$ cat /etc/crypttab
sda5_crypt UUID=7366a5c5-xxxx-yyyy-zzzz-XXXXXXXXXXXX none luks

diego@pierre:~$ cat /etc/crypttab

sda5_crypt UUID=7366a5c5-xxxx-yyyy-zzzz-XXXXXXXXXXXX none luks

Ese fichero es la base de datos de volúmenes cifrados y, en este caso, sólo hay una partición que manejar, sda5.

A continuación, ejecutamos el comando que cambia la frase de paso sobre la partición correcta:

diego@pierre:~$ sudo cryptsetup luksChangeKey /dev/sda5
Introduzca la frase contraseña que hay que cambiar:
Introduzca una nueva frase contraseña:
Verifique la frase contraseña:

diego@pierre:~$ sudo cryptsetup luksChangeKey /dev/sda5

Introduzca la frase contraseña que hay que cambiar:

Introduzca una nueva frase contraseña:

Verifique la frase contraseña:

Cuando dentro de unos meses vuelva a cambiar la contraseña, ya no tendré que buscar más que aquí :-D.

11 marzo, 2019 by .deb

[Short] FreshRSS: aloja tu propio servidor RSS

Como un soplo de aire fresco, llega FreshRSS un agregador de canales RSS libre y ligero donde mantener al día y sincronizados vuestros feed RSS. Es compatible tanto con Apache como con Ngnix, así que debería funcionar sin problema aunque vayáis un poco justos de hardware (RasPi calling!). El funcionamiento es simple, instalas un servidor web (guía aquí -de momento sólo está en inglés-) y accedes a él desde cualquier dispositivo, bien vía web o desde la aplicación android (la podéis encontrar en F-droid pero ojo que aún está en versión alpha).

Aquí podéis indagar un poco sobre el funcionamiento de la aplicación y aquí se explica como programar cron para que actualice los feeds automáticamente cada cierto tiempo.

Happy hacking!

6 marzo, 2019 by .deb

[Truco] Convierte un vídeo en imágenes con ffmpeg

¿Pulsaste el botón de vídeo en lugar del de la foto en aquel lugar y momento difícilmente repetible? ¿Te gustaría tener una de las escenas icónicas de tu película favorita de fondo de pantalla? Con ffmpeg es muy sencillo. Imaginemos que necesitamos extraer los primeros 30 segundos de un vídeo en fotogramas. Basta con teclear:

ffmpeg -ss 00:00 -i video.mp4 -t 00:30 fotograma%05d.png

En detalle:

-ss indica el inicio temporal a partir del cual empezar a extraer fotogramas.
-t el intervalo de tiempo en el que queremos extraerlos
%05d es una wildcard que sirve para añadir el número de fotograma con 5 dígitos al final del nombre de cada .png generado

Fácil ¿verdad? Esta es solo una pequeña muestra del potencial de ffmpeg, os invito a echar un vistazo más detallado a esta navaja suiza del multimedia. Aquí os dejo el enlace a la lista de formatos de vídeo soportados.

¡Que aproveche!

23 enero, 2019 by .deb

DataDetox: controla tu presencia on-line

De la mano del Tactical Technology Collective y la Fundación Mozilla llega esta fantástica iniciativa que busca concienciar sobre privacidad on-line. Decenas de aplicaciones y sitios web rastrean a diario nuestra actividad, preferencias de navegación y gustos en busca de un trocito del suculento pastel del Big Data.

¿Conoces tu huella digital? ¿Qué saben las redes de ti? ¿Y qué sabes tú de lo que las redes hacen con tus datos?

DataDetox nos invita a indagar en nuestra huella digital, descubrir cual es nuestra identidad on-line y prevenir la fuga masiva de datos a la que estamos expuestos.

8 días, menos de media hora al día ¿te atreves?

Ahí va el programa:

Día 0.- ¿Por qué Detox? Nos vamos preparando.

Día 1.- Descubrir. ¿Quién eres según otras personas?

Día 2.- Todo en un mismo lugar. ¿Cuánto te conoce Google?

Día 3.- Ser sociable. Desintoxicando tus cuentas en redes sociales.

Día 4.- Buscar&navegar. ¿Qué estás compartiendo a través de tu navegador?

Día 5.- Conectando. ¿Con quién habla tu móvil?

Día 6.- Limpieza. Hora de limpiar nuestras aplicaciones.

Día 7.- ¿Quién crees que eres? Porqué crear perfiles no se trata simplemente de mostrarte anuncios.

Día 8.- Creando un nuevo yo. Convierte tu “data detox” en un nuevo estilo de vida.

23 noviembre, 2018 by Diego Martínez Castañeda

[truco] mariadb se va de paseo (MySQL server has gone away)

O dicho en el idioma de los errores de sistema, ERROR 2006 (HY000) at line 21232: MySQL server has gone away.

$ mysql -h localhost -u user -pUltraSecurePass mydatabase &lt; dump.sql
ERROR 2006 (HY000) at line 21232: MySQL server has gone away
$

$ mysql -h localhost -u user -pUltraSecurePass mydatabase < dump.sql

ERROR 2006 (HY000) at line 21232: MySQL server has gone away

El lío

mariadb

El error me apareció cuando intentaba importar la base de un wordpress en una instalación de MariaDB 10.1.37-0+deb9u1. Tengo que decir que el fichero SQL no es muy diferente al montón de importaciones que he hecho con MySQL, tiene un tamaño aproximado aunque sí que ha habido ficheros varios megas más grandes en el mismo servidor. Lo inusual del error, el que no fuese un error de sintaxis del fichero me hacía sospechar de la configuración de MariaDB.

La solución

Hay que aumentar una variable del sistema que se encarga del tamaño máximo del buffer donde se almacenan los paquetes, max_allowed_packet. Basta con añadir (o modificar) el valor y ponerlo a algo tremendo para que no falle, en este caso, 2 GB.

sudo sed -i '/max_allowed_packet/d' /etc/mysql/my.cnf
echo "max_allowed_packet = 2G" | sudo tee -a /etc/mysql/my.cnf
sudo /etc/init.d/mysql restart

sudo sed -i '/max_allowed_packet/d' /etc/mysql/my.cnf

echo "max_allowed_packet = 2G" | sudo tee -a /etc/mysql/my.cnf

sudo /etc/init.d/mysql restart

Tras aplicar el cambio, ya se puede importar sin problema volcados de wordpress o de lo que sea.

$ mysql -h localhost -u user -pUltraSecurePass mydatabase &lt; dump.sql
$

$ mysql -h localhost -u user -pUltraSecurePass mydatabase < dump.sql

15 junio, 2018 by .deb

Tip: Escalar un documento PDF con GhostScript

Pongamos que lleváis tiempo maquetando un documento de unos cuantos cientos de páginas y que a la hora de imprimir decidís que en lugar del clásico A4, preferís hacerlo en un formato más manejable, por ejemplo B5. Pongamos también que la pereza os ha vencido y no habéis utilizado LaTex para editar vuestro documento. Y que además tiene decenas de imágenes y tablas con sus respectivas leyendas. Remaquetarlo son unas cuantas horas de ingrato trabajo extra ¿por qué no redimensionar el PDF directamente?

Ghostscript funciona la mar de bien en estos casos, y pasar de un A4 a un B5, respetando márgenes, interlineados y demás es tan sencillo como ejecutar:

gs -dBATCH -dNOPAUSE -sDEVICE=pdfwrite -dFIXEDMEDIA -sPAPERSIZE=isob5 -dPDFFitPage -sOUTPUTFILE=B5_file.pdf A4_file.pdf

Los curiosos podéis echar un vistazo al significado de cada parámetro en el man de gs.

Happy reformating!

4 mayo, 2018 by Diego Martínez Castañeda

WordPress Multisite, Let’s Encrypt Wildcard y dominios redirigidos

Inciso: Dabo, te lo dije, te advertí que no pararía hasta terminar sabiendo cómo hacer funcionar esto 🙂

Tengo varias web, varios WordPress y un puñado de dominios. Es, creo yo, lo habitual cuando te mueves por estas aguas y a cada proyecto, idea o viaje místico le asocias un dominio y un espacio en internet. La mayoría no llega a ningún sitio pero eso no es lo importante. Al final, te juntas con un puñado de webs en un WordPress Multisite, con varios dominios apuntando a varios de sus subdominios y con unas ganas locas de ponerles a todas un bonito certificado SSL patrocinado por Let’s Encrypt.

El escenario

example.com es el dominio principal de un WordPress Multisite que alberga una veintena de webs en su propio subdominio, loquesea.example.com y, algunas de ellas, además, tienen un dominio propio que apunta al subdominio. Así tenemos, por ejemplo, example1.com que apunta a ex1.example.com y example2.net que apunta a ex2net.example.com.

Y un día quieres que todos los dominios tengan su propio certificado de Let’s Encrypt y es un problema porque como todos los subdominios dependen del mismo dominio principal y Let’s Encrypt no soporta wildcards, no hay mucho que hacer.

Así que te planteas hacer que sea Apache (2.4) el que se coma el marrón y te pones a mirar cómo hacerlo. El VirtualHost ya tiene declarado el dominio y los subdominios y también cuenta con el certificado para si mismo. Y no encontré la forma de meterle el resto de certificados, ni declarando otros VirtualHosts para que cada dominio tuviese su certificado, ni de ninguna forma.

Al final lo dejas por un tiempo porque no, ni apache es la solución ni Let’s Encrypt soporta wildcards y ya estás bastante cansado de batallar con molinos multisite.

La solución

El 13 de marzo, con dos meses de retraso sobre la fecha previstas, Let’s Encrypt anuncia que soporta wildcards y empiezas con las pruebas.

Primero, el VirtualHost de apache debe reconocer todos y cada uno de los dominios y subdominios, incluídos los dominios asociados:

grep ServerAlias /etc/apache2/sites-enabled/example.com.conf
    ServerAlias *.example.com ex1.example.com example1.com ex2net.example.com example2.net

grep ServerAlias /etc/apache2/sites-enabled/example.com.conf

ServerAlias *.example.com ex1.example.com example1.com ex2net.example.com example2.net

Luego, se invoca a cerbot con los parámetros adecuados:

sudo certbot certonly \
  --server https://acme-v02.api.letsencrypt.org/directory \
  --manual \
  --preferred-challenges dns-01 \
  -d example.com \
  -d *.example.com \
  -d example1.com \
  -d example2.net

sudo certbot certonly \

--server https://acme-v02.api.letsencrypt.org/directory \

--manual \

--preferred-challenges dns-01 \

-d example.com \

-d *.example.com \

-d example1.com \

-d example2.net

Con el parámetro --manual deberemos añadir un registro TXT _acme-challenge con una clave al DNS de cada uno de los dominios especificados para que sean capaces de comprobar que realmente eres el propietario del dominio.

Los dominios a incluir en el certificado se especifican por separado, todos ellos, con un -d, incluyendo el wildcard para los subdominios de example.com.

Se cambia la declaración del certificado porque es un fichero diferente, se reinicia apache y esta parte está lista. Cada dominio y subdominio tiene un certificado nominal válido, firmado por Let’s Encrypt y se puede acceder a cada uno, por HTTP y HTTPS.

En WordPress es una buena idea activar el plugin Really Simple SSL que convierte todas las peticiones HTTP en HTTPS para que todo el contenido esté cifrado.

Bonus track: redirigir las peticiones HTTP a HTTPS

Añadir estas pocas líneas al VirtualHost de apache:

    # Force HTTPS
    RewriteEngine On
    RewriteCond %{HTTPS} off
    RewriteRule .* https://%{HTTP_HOST}%{REQUEST_URI} [L,R=301]

# Force HTTPS

RewriteEngine On

RewriteCond %{HTTPS} off

RewriteRule .* https://%{HTTP_HOST}%{REQUEST_URI} [L,R=301]

Sólo he necesitado un año y pico y que Let’s Encrypt admitiese los wildcard para poder tener los dominios funcionando a mi gusto. Y si, seguro que hay una docena (o más) de mejores formas de hacerlo pero, sinceramente, no he encontrado ninguna otra.

mis requerimientos

el caso

las alternativas

instalación de mattermost

creación de la base de datos

Mattermos, al fin

la columna de una tabla es demasiado grande

apache2

Configuración de mattermost

El lío

La solución

El escenario

La solución

Bonus track: redirigir las peticiones HTTP a HTTPS

`apache2`

Configuración de `mattermost`