Forum Datorer och system Server Tråd Inlägg

[apache2][Proxy] Installera certbot (Let's Encrypt's) på bästa sätt

1
Skriv svar
Permalänk
Avstängd

[apache2][Proxy] Installera certbot (Let's Encrypt's) på bästa sätt

Tjo,

[apache2 ProxyPass] -> [apache2 Nextcloud]
Har en apache2 server som är en Proxy som sen sin tur skicka den till olika apache2 server bland annat till en Nextcloud.

Nu när jag känner ha ork att ta tag i saker igen så måste jag börja använda mig av SSL så läste att man kunde installera certbot med Let's Encrypt's så skapar den ett certifikat.

Så nu till mina frågor.

Vart ska jag installera certbot på bästa sätt [https:// apache2 ProxyPass] -> [http:// apache2 Nextcloud] så om jag installera den på Proxy server så den tar emot https och sen skicka http till dom andra server är det en bra ide eller finns det något bättre?

Jag har flera domäner blir det ett problem med certbot?

Jag har läst https://certbot.eff.org/lets-encrypt/ubuntuxenial-apache hur man gör är det allt man behöver göra så gör den resten eller måste man göra något mer?

Visa signatur

Man är inte dum för att man har stavproblem.
Läs mer om min synfel Visual Snow
Om mig ----> #16970666

Redigera
Citera flera Citera
Permalänk
Medlem

Jag hade valt att terminera SSL i proxyn och sedan köra http till backend. Det ska inte vara något problem att köra flera domäner med certbot, men jag har inte provat själv.

Redigera
Citera flera Citera
Permalänk
Medlem

Vet inte vad som är bäst plats att placera certifikaten. Men tänk dig att du skriver nextcloud.mindoman.se, om du har splitt DNS eller hairpin nat direkt mot servern som kör nextcloud eller proxyn. Om det är direkt mot nextcloud servern är det definitivt bäst att lägga det i nextcloud servern eftersom laptops/mobiltelefoner befinner sig både utanför och innanför nätverket och måste kunna kommunicera på båda.

Det är inga konstigheter med två domäner/sajter med let's encrypt och certbot. Jag för med lite orolig först. Har en webbserver som hostar 2 webbsidor och tog först bara ett certifikat på den viktigaste sidan men gjorde i förra veckan slag i saken och tog ett certifikat på den andra med.

För det första certifikatet följde jag bara guiden på deras hemsida och för det andra certifikatet körde jag det här kommandot. Sedan kopplade jag det manuellt mot den virtuella hosten som lyssar på 443. Glöm inte att ha kvar http men att göra en rewrite till https om det är en hemsida som vem som helst ska kunna nå, ingen skriver https framför adressen manuellt i webbläsaren

certbot-auto certonly -d domän.se -d www.domän.se --apache
Redigera
Citera flera Citera
Permalänk
Medlem
Skrivet av jocke92:

Vet inte vad som är bäst plats att placera certifikaten. Men tänk dig att du skriver nextcloud.mindoman.se, om du har splitt DNS eller hairpin nat direkt mot servern som kör nextcloud eller proxyn. Om det är direkt mot nextcloud servern är det definitivt bäst att lägga det i nextcloud servern eftersom laptops/mobiltelefoner befinner sig både utanför och innanför nätverket och måste kunna kommunicera på båda.

Det är inga konstigheter med två domäner/sajter med let's encrypt och certbot. Jag för med lite orolig först. Har en webbserver som hostar 2 webbsidor och tog först bara ett certifikat på den viktigaste sidan men gjorde i förra veckan slag i saken och tog ett certifikat på den andra med.

För det första certifikatet följde jag bara guiden på deras hemsida och för det andra certifikatet körde jag det här kommandot. Sedan kopplade jag det manuellt mot den virtuella hosten som lyssar på 443. Glöm inte att ha kvar http men att göra en rewrite till https om det är en hemsida som vem som helst ska kunna nå, ingen skriver https framför adressen manuellt i webbläsaren

certbot-auto certonly -d domän.se -d www.domän.se --apache
Gå till inlägget

Beroende på hur termineringen i proxyn sker, om den faktiskt terminerar anslutningen, eller bara kör en tcp-passthrough så behövs ju certet på båda ställen. Varför inte peka på proxyn både internt och externt?

Redigera
Citera flera Citera
Permalänk
Medlem
Skrivet av Xcorp:

Beroende på hur termineringen i proxyn sker, om den faktiskt terminerar anslutningen, eller bara kör en tcp-passthrough så behövs ju certet på båda ställen. Varför inte peka på proxyn både internt och externt?

Gå till inlägget

Jag tänkte mer prestanda att man internt inte vill köra den genom proxyn när man inte måste. Troligen används ju proxyn externt för att man bara har 1st IP-adress

Redigera
Citera flera Citera
Permalänk
Medlem
Skrivet av jocke92:

Jag tänkte mer prestanda att man internt inte vill köra den genom proxyn när man inte måste. Troligen används ju proxyn externt för att man bara har 1st IP-adress

Gå till inlägget

Att köra genom proxy och terminera SSL kräver väldigt lite med modern hårdvara. När man börjar prata några hundra anslutningar per sekund kan man börja titta på att optimera.

Redigera
Citera flera Citera
Permalänk
Avstängd
Skrivet av jocke92:

Vet inte vad som är bäst plats att placera certifikaten. Men tänk dig att du skriver nextcloud.mindoman.se, om du har splitt DNS eller hairpin nat direkt mot servern som kör nextcloud eller proxyn. Om det är direkt mot nextcloud servern är det definitivt bäst att lägga det i nextcloud servern eftersom laptops/mobiltelefoner befinner sig både utanför och innanför nätverket och måste kunna kommunicera på båda.

Det är inga konstigheter med två domäner/sajter med let's encrypt och certbot. Jag för med lite orolig först. Har en webbserver som hostar 2 webbsidor och tog först bara ett certifikat på den viktigaste sidan men gjorde i förra veckan slag i saken och tog ett certifikat på den andra med.

För det första certifikatet följde jag bara guiden på deras hemsida och för det andra certifikatet körde jag det här kommandot. Sedan kopplade jag det manuellt mot den virtuella hosten som lyssar på 443. Glöm inte att ha kvar http men att göra en rewrite till https om det är en hemsida som vem som helst ska kunna nå, ingen skriver https framför adressen manuellt i webbläsaren

certbot-auto certonly -d domän.se -d www.domän.se --apache
Gå till inlägget

Kommer den att skapa crt,key filer eller är allt auto?

Visa signatur

Man är inte dum för att man har stavproblem.
Läs mer om min synfel Visual Snow
Om mig ----> #16970666

Redigera
Citera flera Citera
Permalänk
Medlem
Skrivet av superegg:

Kommer den att skapa crt,key filer eller är allt auto?

Gå till inlägget

Den skapar hela apache-confen åt dig, och laddar om i full autoläget. Troligtvis inte vad du vill. Den kan även bara ska CSR och sen hämta det signerade certet och lägga var du vill.

Redigera
Citera flera Citera
Permalänk
Medlem
Skrivet av superegg:

Kommer den att skapa crt,key filer eller är allt auto?

Gå till inlägget

Med certonly så kommer den inte installera certifikaten. De kommer hamna i en mapp under /etc/letsencrypt/live/ och sedan gör man manuellt konfigurationen i webbservern.

Kommer inte ihåg om den gör något cronjob vi installationen men det ska man ha så att den förnyar certifikaten automatiskt.

Eftersom du kör proxy så måste du tänka på att din server där du gör förfrågan på certifikat från går att nå via https eftersom det är så den verifierar att din server verkligen är din server och att du äger domänen

Redigera
Citera flera Citera
Permalänk
Avstängd
Skrivet av Xcorp:

Den skapar hela apache-confen åt dig, och laddar om i full autoläget. Troligtvis inte vad du vill. Den kan även bara ska CSR och sen hämta det signerade certet och lägga var du vill.

Gå till inlägget

Man vill ju inte att den ändra något i apache-config förut om att skapa crt & key.

Skrivet av jocke92:

Med certonly så kommer den inte installera certifikaten. De kommer hamna i en mapp under /etc/letsencrypt/live/ och sedan gör man manuellt konfigurationen i webbservern.

Kommer inte ihåg om den gör något cronjob vi installationen men det ska man ha så att den förnyar certifikaten automatiskt.

Eftersom du kör proxy så måste du tänka på att din server där du gör förfrågan på certifikat från går att nå via https eftersom det är så den verifierar att din server verkligen är din server och att du äger domänen

Gå till inlägget

Så man ska köra.

sudo certbot --apache
sudo certbot --apache certonly (Vad kommer denna att göra?)
sudo certbot -a dns-plugin -i apache -d "*.example.com" -d example.com --server https://acme-v02.api.letsencrypt.org/directory

Och sen gå till apache till web conf och sätta key & crt som borde då ligga i /etc/letsencrypt/live/?

Visa signatur

Man är inte dum för att man har stavproblem.
Läs mer om min synfel Visual Snow
Om mig ----> #16970666

Redigera
Citera flera Citera
Permalänk
Medlem
Skrivet av superegg:

Man vill ju inte att den ändra något i apache-config förut om att skapa crt & key.

Så man ska köra.

sudo certbot --apache
sudo certbot --apache certonly (Vad kommer denna att göra?)
sudo certbot -a dns-plugin -i apache -d "*.example.com" -d example.com --server https://acme-v02.api.letsencrypt.org/directory

Och sen gå till apache till web conf och sätta key & crt som borde då ligga i /etc/letsencrypt/live/?

Gå till inlägget

Nej, med "sudo certbot --apache" kommer den göra allt per automatik med de domäner den hittar i apache-configurationen. Jag tror det räcker med kommandot jag skrev från början när certbot är installerat. Första gången får man lite mer frågor att svara på bara.

Redigera
Citera flera Citera
Permalänk
Avstängd
Skrivet av jocke92:

Nej, med "sudo certbot --apache" kommer den göra allt per automatik med de domäner den hittar i apache-configurationen. Jag tror det räcker med kommandot jag skrev från början när certbot är installerat. Första gången får man lite mer frågor att svara på bara.

Gå till inlägget

ah, får kolla på det imorgon. Tack för kommando, glömde helt bort den.

Visa signatur

Man är inte dum för att man har stavproblem.
Läs mer om min synfel Visual Snow
Om mig ----> #16970666

Redigera
Citera flera Citera
Permalänk
Medlem

Om det är Nextcloud VMen eller scripten som du använt så finns det en färdig lösning redan: https://github.com/nextcloud/vm/blob/master/lets-encrypt/acti...

Visa signatur

Citera för svar

Stora Owncloud/Nextcloud-tråden: http://www.sweclockers.com/forum/122-server/1212245-officiell...
Jobb: Datacenter Manager
Grundare: https://www.hanssonit.se

Redigera
Citera flera Citera
Permalänk
Avstängd
Skrivet av enoch85:

Om det är Nextcloud VMen eller scripten som du använt så finns det en färdig lösning redan: https://github.com/nextcloud/vm/blob/master/lets-encrypt/acti...

Gå till inlägget

Stämmer bra, men hade tänkt att fixa dom andra domäner när jag ändå håller på med det.

Visa signatur

Man är inte dum för att man har stavproblem.
Läs mer om min synfel Visual Snow
Om mig ----> #16970666

Redigera
Citera flera Citera
1
Skriv svar
Senaste nyheterna
Hårdvara
Mjukvara
Övrigt
Nytt i forumet
Datorkomponenter
System
Ljud, bild och kommunikation
Spel och mjukvara