Как организовать правильный SSL сертификат?

1

1

Предыстория: в качестве rss-читалки/агрегатора я на своём домашнем сервере (есть выделенный провайдером IP для моей домашней сети) поднял tiny tiny rss readder. Всё меня долгое время устраивало, но официальный клиент для Android с неделю назад решил сделать «лучше», а именно «options to trust any SSL certificate have been removed»

То есть мне теперь нужно установить правильный SSL-сертификат. Я установил certbot (плагин для Apach) и попробовал его получить, но в процессе получения он хочет имя домена которое соответственно зарегистрировано.

Собственно говоря мне как сферическому в вакууме пользователе нужна только читалка и я особо не напрягаюсь с её компрометацией, но я готов пройти этот квест. Вопрос: как?

Как мне зарегистрировать доменное имя с минимальной кровью и желательно недорого? Можно ли при получения сертификата обойтись без этого? Использовать всё-равно этот сервис буду только я.

Итого: перенаправил 80ый порт и отсертифицировал свой сервис по самые уши через certbot и xip.io. Клиент съел это и не подавился (порт убрал на всякий случай). Теперь в браузере закрытый замочек видится, как положено. Через пол года надо будет повторить процедуру. Но IMHO какие-то костыли ей богу.

Благодарности: Всем спасибо за варианты решения. ЛОР можно использовать для своей пользы!

Ссылка

←	Qutebrowser, zoom

Вопрос про запуск винды в виртуалке

→

Можно ли при получения сертификата обойтись без этого?

Можно, используя сервисы вроде http://xip.io/ или аналогичные, их много, но суть одна: они резолвят сабдомены (а на них уже можешь получить letsencrypt сертификат) в твой ип.

Как мне зарегистрировать доменное имя с минимальной кровью и желательно недорого?

В два клика на namecheap.com купить какой-нибудь .xyz за 93 цента в год.

anonymous
(09.05.20 10:43:50 MSK)

Ответ на: комментарий от anonymous 09.05.20 10:43:50 MSK

их много, но суть одна

https://nip.io/ https://sslip.io/

Оставлю тут, а то из головы вылетело, еле нагуглил. Последний еще и кастом домены умеет и ipv6, но тебе это не нужно.

anonymous
(09.05.20 10:47:21 MSK)

Ссылка

Ответ на: комментарий от anonymous 09.05.20 10:43:50 MSK

Пробую запустить certbot (NNN.NNN.NNN.NNN — мой IP, точнее IP роутера на котором открыт порт для доступа к локальному серверу) и получаю отлуп:

IMPORTANT NOTES:
 - The following errors were reported by the server:

   Domain: tt-rss.NNN.NNN.NNN.NNN.xip.io
   Type:   unauthorized
   Detail: Invalid response from
   http://tt-rss.NNN.NNN.NNN.NNN.xip.io/.well-known/acme-challenge/TFYzhy5TqtJYZH8S6Mg9szjlYWvdjhFGEZkOJE2wI6g
   [NNN.NNN.NNN.NNN]: 404

   To fix these errors, please make sure that your domain name was
   entered correctly and the DNS A/AAAA record(s) for that domain
   contain(s) the right IP address.

Я так понимаю он пытается связаться с моим роутером и роутер его посылает.

Rejected request from RFC1918 IP to public server address

В какую сторону копать?

Evgueni ★★★★★
(09.05.20 15:25:16 MSK) автор топика
Последнее исправление: Evgueni 09.05.20 15:27:05 MSK (всего исправлений: 2)

Ответ на: комментарий от Evgueni 09.05.20 15:25:16 MSK

Если tt-rss.NNN.NNN.NNN.NNN.xip.io резолвится можешь в NNN.NNN.NNN.NNN, и это твой белый ip - то копать в сторону настроек роутера, я тут не силен. Апач висит на этом же ip, работает нормально и виден снаружи?

anonymous
(09.05.20 15:33:55 MSK)

я делаю без плагинов так

cat /etc/httpd/conf/extra/acme.conf 
Alias /.well-known/acme-challenge/ "/var/lib/letsencrypt/.well-known/acme-challenge/"
<Directory "/var/lib/letsencrypt/">
    AllowOverride None
    Options MultiViews Indexes SymLinksIfOwnerMatch IncludesNoExec
    Require method GET POST OPTIONS
</Directory>

добавляю этот файл к виртуалхосту который на 80м порту

и certbot делаю с webroot в /var/lib/letsencrypt/

sergej ★★★★★
(09.05.20 15:35:11 MSK)

Ответ на: комментарий от anonymous 09.05.20 15:33:55 MSK

Апач весит на NNN.NNN.NNN.NNN:PPPP, где PPPP порт, то есть доступиться к нему можно через tt-rss.NNN.NNN.NNN.NNN.xip.io:PPPP — это я проверял. Я с ходу не понимаю как сюда ещё порт прицепить, так все хотят только домен без порта.

Evgueni ★★★★★
(09.05.20 15:38:16 MSK) автор топика
Последнее исправление: Evgueni 09.05.20 15:39:20 MSK (всего исправлений: 2)

Ответ на: комментарий от sergej 09.05.20 15:35:11 MSK

А где про этот acme почитать? Возможно у меня и в роутере это как-то настроить можно, просто я не понимаю что смотреть.

Evgueni ★★★★★
(09.05.20 15:41:32 MSK) автор топика

Ответ на: комментарий от Evgueni 09.05.20 15:38:16 MSK

где PPPP порт Так и подозревал. Если вкратце, то тогда без регистрации домена - никак.

https://certbot.eff.org/faq#can-i-issue-a-certificate-if-my-webserver-doesn-t-listen-on-port-80

https://letsencrypt.org/ru/docs/challenge-types/

Проверка HTTP-01 выполняется только с использованием порта 80. Произвольный порт для проверки снижает надёжность, и потому запрещён стандартом ACME.

То есть или 80 порт, или добавлять TXT запись в днс.

anonymous
(09.05.20 15:44:04 MSK)

Ссылка

Ответ на: комментарий от Evgueni 09.05.20 15:41:32 MSK

Можно зарегистрировать бесплатный .tk домен, но он может умереть в любой момент и тд, я бы не парился и зарегистрировал платный за 50-90 центов. На алибаба клауд .xyz сейчас по 18 центов вообще.

anonymous
(09.05.20 15:45:52 MSK)

Ссылка

Ответ на: комментарий от Evgueni 09.05.20 15:41:32 MSK

читать наверное в rfc (https://tools.ietf.org/html/rfc8555), но смысл такой, что будут верифицировать, что домен принадлежит именно тебе по файлу через http (/.well-known/acme-challenge/…) или по txt записи в днс.

sergej ★★★★★
(09.05.20 15:57:28 MSK)