LINUX.ORG.RU

Как организовать правильный SSL сертификат?

 , ,


1

1

Предыстория: в качестве rss-читалки/агрегатора я на своём домашнем сервере (есть выделенный провайдером IP для моей домашней сети) поднял tiny tiny rss readder. Всё меня долгое время устраивало, но официальный клиент для Android с неделю назад решил сделать «лучше», а именно «options to trust any SSL certificate have been removed»

То есть мне теперь нужно установить правильный SSL-сертификат. Я установил certbot (плагин для Apach) и попробовал его получить, но в процессе получения он хочет имя домена которое соответственно зарегистрировано.

Собственно говоря мне как сферическому в вакууме пользователе нужна только читалка и я особо не напрягаюсь с её компрометацией, но я готов пройти этот квест. Вопрос: как?

Как мне зарегистрировать доменное имя с минимальной кровью и желательно недорого? Можно ли при получения сертификата обойтись без этого? Использовать всё-равно этот сервис буду только я.

Итого: перенаправил 80ый порт и отсертифицировал свой сервис по самые уши через certbot и xip.io. Клиент съел это и не подавился (порт убрал на всякий случай). Теперь в браузере закрытый замочек видится, как положено. Через пол года надо будет повторить процедуру. Но IMHO какие-то костыли ей богу.

Благодарности: Всем спасибо за варианты решения. ЛОР можно использовать для своей пользы!

★★★★★

Можно ли при получения сертификата обойтись без этого?

Можно, используя сервисы вроде http://xip.io/ или аналогичные, их много, но суть одна: они резолвят сабдомены (а на них уже можешь получить letsencrypt сертификат) в твой ип.

Как мне зарегистрировать доменное имя с минимальной кровью и желательно недорого?

В два клика на namecheap.com купить какой-нибудь .xyz за 93 цента в год.

anonymous ()
Ответ на: комментарий от anonymous

Пробую запустить certbot (NNN.NNN.NNN.NNN — мой IP, точнее IP роутера на котором открыт порт для доступа к локальному серверу) и получаю отлуп:

IMPORTANT NOTES:
 - The following errors were reported by the server:

   Domain: tt-rss.NNN.NNN.NNN.NNN.xip.io
   Type:   unauthorized
   Detail: Invalid response from
   http://tt-rss.NNN.NNN.NNN.NNN.xip.io/.well-known/acme-challenge/TFYzhy5TqtJYZH8S6Mg9szjlYWvdjhFGEZkOJE2wI6g
   [NNN.NNN.NNN.NNN]: 404

   To fix these errors, please make sure that your domain name was
   entered correctly and the DNS A/AAAA record(s) for that domain
   contain(s) the right IP address.

Я так понимаю он пытается связаться с моим роутером и роутер его посылает.

Rejected request from RFC1918 IP to public server address
В какую сторону копать?

Evgueni ★★★★★ ()
Последнее исправление: Evgueni (всего исправлений: 2)
Ответ на: комментарий от Evgueni

Если tt-rss.NNN.NNN.NNN.NNN.xip.io резолвится можешь в NNN.NNN.NNN.NNN, и это твой белый ip - то копать в сторону настроек роутера, я тут не силен. Апач висит на этом же ip, работает нормально и виден снаружи?

anonymous ()

я делаю без плагинов так

cat /etc/httpd/conf/extra/acme.conf 
Alias /.well-known/acme-challenge/ "/var/lib/letsencrypt/.well-known/acme-challenge/"
<Directory "/var/lib/letsencrypt/">
    AllowOverride None
    Options MultiViews Indexes SymLinksIfOwnerMatch IncludesNoExec
    Require method GET POST OPTIONS
</Directory>

добавляю этот файл к виртуалхосту который на 80м порту

и certbot делаю с webroot в /var/lib/letsencrypt/

sergej ★★★★★ ()
Ответ на: комментарий от anonymous

Апач весит на NNN.NNN.NNN.NNN:PPPP, где PPPP порт, то есть доступиться к нему можно через tt-rss.NNN.NNN.NNN.NNN.xip.io:PPPP — это я проверял. Я с ходу не понимаю как сюда ещё порт прицепить, так все хотят только домен без порта.

Evgueni ★★★★★ ()
Последнее исправление: Evgueni (всего исправлений: 2)
Ответ на: комментарий от Evgueni

где PPPP порт Так и подозревал. Если вкратце, то тогда без регистрации домена - никак.

https://certbot.eff.org/faq#can-i-issue-a-certificate-if-my-webserver-doesn-t-listen-on-port-80

https://letsencrypt.org/ru/docs/challenge-types/

Проверка HTTP-01 выполняется только с использованием порта 80. Произвольный порт для проверки снижает надёжность, и потому запрещён стандартом ACME.

То есть или 80 порт, или добавлять TXT запись в днс.

anonymous ()
Ответ на: комментарий от Evgueni

Можно зарегистрировать бесплатный .tk домен, но он может умереть в любой момент и тд, я бы не парился и зарегистрировал платный за 50-90 центов. На алибаба клауд .xyz сейчас по 18 центов вообще.

anonymous ()

Взять любой домен 3-го уровня и привязать. Могу привязать домен вида XXX.dimez.ru к твоему ip, сертификат получишь сам без проблем.

anonymous ()