Vraag Kan ik cert gebruiken voor: 443 op: 10000


Ik heb letsencrypt / certbot gebruikt om SSL in te stellen voor mijn site op ubuntu 16.04. Ik heb webmin geïnstalleerd en klaagt er op de juiste manier over dat het niet veilig is. Wat moet ik doen om een ​​cert werkend op webmin poort 10000 te krijgen? Ik gebruik apache.


0
2018-03-08 00:07


oorsprong


Ik heb Google gebruikt. community.letsencrypt.org/t/... - Ken Sharp
Hmm. Ik weet niet of mijn probleem ligt bij domeinvalidatie. Ik denk dat ik kon proberen om certbot te krijgen om een ​​nieuwe cett te maken - Joe Murray


antwoorden:


Het korte antwoord is: Ja dat kan.

Helaas weet ik de exacte stappen niet meer, ik heb het meer dan 2 jaar geleden gedaan. Maar ik zal enkele hoofdtoestanden opschrijven.

  • Webmin gebruikt de Lighttpd-webserver en dit is niet de configuratie-instelling van Apache. (Niet op deze staat.)

  • U moet het certificaat converteren naar een geschikt voor Webmin-indeling, als dit niet het geval is.

  • U kunt uw certificaat importeren via de webinterface van Webmin of u kunt het Lighttpd-configuratiebestand van Webmin handmatig bewerken (/etc/webmin/config zoals ik me goed herinner).

  • Het maakt niet uit op welke poort u HTTPS gebruikt, alleen (zodra deze is geconfigureerd) moeten de verzoeken van uw browser beginnen https:// in plaats van http://. En omdat de certificaten voor een domeinnaam zijn, moet u Webmin openen via de domeinnaam (en poort) in plaats van IP (en poort).

Momenteel gebruik ik Webmin niet. Voor mij is ssh-verbinding voldoende om een ​​remote instantie te beheren. Dus ik zou u aanraden om Apache als reverse proxy voor soortgelijke gevallen te configureren, dat IMO nuttiger zal zijn.

  • Open poort 1010 (of een andere vrije poort) in uw Firewall.

  • Maak een nieuw VirtualHost-configuratiebestand van Apache, op basis van het bestand dat HTTPS bedient (op poort 443). De inhoud van het nieuwe configuratiebestand zou er als volgt uit moeten zien:

    <IfModule mod_ssl.c>
    
        Listen 1010
    
        <VirtualHost _default_:1010>
    
            ServerName my.domain.com
            ServerAdmin admin@my.domain.com
    
            ErrorLog ${APACHE_LOG_DIR}/my.domain.com.error.log
            CustomLog ${APACHE_LOG_DIR}/my.domain.com.access.log combined
    
            SSLEngine on
            SSLCertificateFile /etc/letsencrypt/live/my.domain.com/cert.pem
            SSLCertificateKeyFile /etc/letsencrypt/live/my.domain.com/privkey.pem
            SSLCertificateChainFile /etc/letsencrypt/live/my.domain.com/chain.pem
    
            ProxyRequests Off
            <Proxy *>
                Order deny,allow
                Allow from all
            </Proxy>
    
            ProxyPass "/"  "http://localhost:1000/"
            ProxyPassReverse "/"  "http://localhost:1000/"
    
            <Location />
                Order allow,deny
                Allow from all
            </Location>
    
        </VirtualHost>
    
    </IfModule>
    
  • Schakel de standaard Apache-proxy-modules in, schakel de nieuwe virtuele host in en start de webserver opnieuw op:

    sudo a2enmod proxy proxy_http                    # [Tab] to find more modules
    sudo a2ensite <my.domain.com on port 1010>.conf
    sudo systemctl restart apache2.service
    
  • Nu zou u toegang moeten kunnen krijgen tot Webmin via HTTPS op adres, omdat dit:

    https://my.domain.com:1010/
    
  • Nu kunt u de poort sluiten 1000 in de firewall.


1
2018-03-11 19:33



Ik begrijp niet wat het voordeel is om in dit geval een omgekeerde proxy op te zetten. Welk verschil is er tussen poort 10000 of 1010? Is het belangrijkste om apache te kunnen configureren om met de https om te gaan en is de localhost gaat het verzoek door naar de lighttpd van webmin? - Joe Murray
Hallo, @ JoeMurray. Het voordeel is dat: uw Apache al is geconfigureerd om te werken met HTTPS (SSL / TLS), dus als u niet meer tijd wilt investeren om de andere webserver te configureren, kunt u deze gebruiken als reverse proxy. Volgens het voorbeeld dient poort 1000 voor HTTP en 1010 voor HTTPS. Volgens de tweede vraag - ja. - pa4080


  1. Installeer Let's Encrypt / certbot-module voor Webmin als u deze niet via de opdrachtregel hebt.
  2. Ga naar Webmin en accepteer de klacht van uw browser dat het een onveilige site is.
  3. Navigeer in Webmin naar Webmin> Webmin Configuration, SSL Encryption.
  4. Klik bovenaan op het tabblad Versleutelen.
  5. Kies de opties voor het certificaat, voer bijvoorbeeld de domeinnaam voor het webmin-domein in zonder de poort en klik op Certificaat aanvragen.
  6. Behandel eventuele fouten (bijv. Schrijfrechten op mappen aangemaakt door certbot draaien op de opdrachtregel die niet door apache webserver kunnen worden beschreven).
  7. Nadat dit configuratieproces voor de webmin voltooid was, had het een certificaat onder / etc / webmin geïnstalleerd dat alleen werkte op poort 10000, de standaard webminepoort.

U wilt misschien verifiëren dat uw cert werkt door uwdomain.com:10000 in een certchecker te plaatsen die poorten zoals accepteert https://www.sslshopper.com/ssl-checker.html. Ik moest ruziën om chroom te krijgen om de nieuwe cert op te merken.


1
2018-03-12 19:00