[apache2][Proxy] Installera certbot (Let's Encrypt's) på bästa sätt

Trädvy Permalänk
Medlem
Plats
Göteborg
Registrerad
Jul 2016

[apache2][Proxy] Installera certbot (Let's Encrypt's) på bästa sätt

Tjo,

[apache2 ProxyPass] -> [apache2 Nextcloud]
Har en apache2 server som är en Proxy som sen sin tur skicka den till olika apache2 server bland annat till en Nextcloud.

Nu när jag känner ha ork att ta tag i saker igen så måste jag börja använda mig av SSL så läste att man kunde installera certbot med Let's Encrypt's så skapar den ett certifikat.

Så nu till mina frågor.

Vart ska jag installera certbot på bästa sätt [https:// apache2 ProxyPass] -> [http:// apache2 Nextcloud] så om jag installera den på Proxy server så den tar emot https och sen skicka http till dom andra server är det en bra ide eller finns det något bättre?

Jag har flera domäner blir det ett problem med certbot?

Jag har läst https://certbot.eff.org/lets-encrypt/ubuntuxenial-apache hur man gör är det allt man behöver göra så gör den resten eller måste man göra något mer?

Man är inte dum för att man har stavproblem.
Läs mer om min synfel Visual Snow
Om mig ----> #16970666

Trädvy Permalänk
Medlem
Registrerad
Nov 2011

Jag hade valt att terminera SSL i proxyn och sedan köra http till backend. Det ska inte vara något problem att köra flera domäner med certbot, men jag har inte provat själv.

Trädvy Permalänk
Medlem
Registrerad
Dec 2008

Vet inte vad som är bäst plats att placera certifikaten. Men tänk dig att du skriver nextcloud.mindoman.se, om du har splitt DNS eller hairpin nat direkt mot servern som kör nextcloud eller proxyn. Om det är direkt mot nextcloud servern är det definitivt bäst att lägga det i nextcloud servern eftersom laptops/mobiltelefoner befinner sig både utanför och innanför nätverket och måste kunna kommunicera på båda.

Det är inga konstigheter med två domäner/sajter med let's encrypt och certbot. Jag för med lite orolig först. Har en webbserver som hostar 2 webbsidor och tog först bara ett certifikat på den viktigaste sidan men gjorde i förra veckan slag i saken och tog ett certifikat på den andra med.

För det första certifikatet följde jag bara guiden på deras hemsida och för det andra certifikatet körde jag det här kommandot. Sedan kopplade jag det manuellt mot den virtuella hosten som lyssar på 443. Glöm inte att ha kvar http men att göra en rewrite till https om det är en hemsida som vem som helst ska kunna nå, ingen skriver https framför adressen manuellt i webbläsaren

certbot-auto certonly -d domän.se -d www.domän.se --apache

Trädvy Permalänk
Medlem
Registrerad
Nov 2011
Skrivet av jocke92:

Vet inte vad som är bäst plats att placera certifikaten. Men tänk dig att du skriver nextcloud.mindoman.se, om du har splitt DNS eller hairpin nat direkt mot servern som kör nextcloud eller proxyn. Om det är direkt mot nextcloud servern är det definitivt bäst att lägga det i nextcloud servern eftersom laptops/mobiltelefoner befinner sig både utanför och innanför nätverket och måste kunna kommunicera på båda.

Det är inga konstigheter med två domäner/sajter med let's encrypt och certbot. Jag för med lite orolig först. Har en webbserver som hostar 2 webbsidor och tog först bara ett certifikat på den viktigaste sidan men gjorde i förra veckan slag i saken och tog ett certifikat på den andra med.

För det första certifikatet följde jag bara guiden på deras hemsida och för det andra certifikatet körde jag det här kommandot. Sedan kopplade jag det manuellt mot den virtuella hosten som lyssar på 443. Glöm inte att ha kvar http men att göra en rewrite till https om det är en hemsida som vem som helst ska kunna nå, ingen skriver https framför adressen manuellt i webbläsaren

certbot-auto certonly -d domän.se -d www.domän.se --apache

Beroende på hur termineringen i proxyn sker, om den faktiskt terminerar anslutningen, eller bara kör en tcp-passthrough så behövs ju certet på båda ställen. Varför inte peka på proxyn både internt och externt?

Trädvy Permalänk
Medlem
Registrerad
Dec 2008
Skrivet av Xcorp:

Beroende på hur termineringen i proxyn sker, om den faktiskt terminerar anslutningen, eller bara kör en tcp-passthrough så behövs ju certet på båda ställen. Varför inte peka på proxyn både internt och externt?

Jag tänkte mer prestanda att man internt inte vill köra den genom proxyn när man inte måste. Troligen används ju proxyn externt för att man bara har 1st IP-adress

Trädvy Permalänk
Medlem
Registrerad
Nov 2011
Skrivet av jocke92:

Jag tänkte mer prestanda att man internt inte vill köra den genom proxyn när man inte måste. Troligen används ju proxyn externt för att man bara har 1st IP-adress

Att köra genom proxy och terminera SSL kräver väldigt lite med modern hårdvara. När man börjar prata några hundra anslutningar per sekund kan man börja titta på att optimera.

Trädvy Permalänk
Medlem
Plats
Göteborg
Registrerad
Jul 2016
Skrivet av jocke92:

Vet inte vad som är bäst plats att placera certifikaten. Men tänk dig att du skriver nextcloud.mindoman.se, om du har splitt DNS eller hairpin nat direkt mot servern som kör nextcloud eller proxyn. Om det är direkt mot nextcloud servern är det definitivt bäst att lägga det i nextcloud servern eftersom laptops/mobiltelefoner befinner sig både utanför och innanför nätverket och måste kunna kommunicera på båda.

Det är inga konstigheter med två domäner/sajter med let's encrypt och certbot. Jag för med lite orolig först. Har en webbserver som hostar 2 webbsidor och tog först bara ett certifikat på den viktigaste sidan men gjorde i förra veckan slag i saken och tog ett certifikat på den andra med.

För det första certifikatet följde jag bara guiden på deras hemsida och för det andra certifikatet körde jag det här kommandot. Sedan kopplade jag det manuellt mot den virtuella hosten som lyssar på 443. Glöm inte att ha kvar http men att göra en rewrite till https om det är en hemsida som vem som helst ska kunna nå, ingen skriver https framför adressen manuellt i webbläsaren

certbot-auto certonly -d domän.se -d www.domän.se --apache

Kommer den att skapa crt,key filer eller är allt auto?

Man är inte dum för att man har stavproblem.
Läs mer om min synfel Visual Snow
Om mig ----> #16970666

Trädvy Permalänk
Medlem
Registrerad
Nov 2011
Skrivet av superegg:

Kommer den att skapa crt,key filer eller är allt auto?

Den skapar hela apache-confen åt dig, och laddar om i full autoläget. Troligtvis inte vad du vill. Den kan även bara ska CSR och sen hämta det signerade certet och lägga var du vill.

Trädvy Permalänk
Medlem
Registrerad
Dec 2008
Skrivet av superegg:

Kommer den att skapa crt,key filer eller är allt auto?

Med certonly så kommer den inte installera certifikaten. De kommer hamna i en mapp under /etc/letsencrypt/live/ och sedan gör man manuellt konfigurationen i webbservern.

Kommer inte ihåg om den gör något cronjob vi installationen men det ska man ha så att den förnyar certifikaten automatiskt.

Eftersom du kör proxy så måste du tänka på att din server där du gör förfrågan på certifikat från går att nå via https eftersom det är så den verifierar att din server verkligen är din server och att du äger domänen

Trädvy Permalänk
Medlem
Plats
Göteborg
Registrerad
Jul 2016
Skrivet av Xcorp:

Den skapar hela apache-confen åt dig, och laddar om i full autoläget. Troligtvis inte vad du vill. Den kan även bara ska CSR och sen hämta det signerade certet och lägga var du vill.

Man vill ju inte att den ändra något i apache-config förut om att skapa crt & key.

Skrivet av jocke92:

Med certonly så kommer den inte installera certifikaten. De kommer hamna i en mapp under /etc/letsencrypt/live/ och sedan gör man manuellt konfigurationen i webbservern.

Kommer inte ihåg om den gör något cronjob vi installationen men det ska man ha så att den förnyar certifikaten automatiskt.

Eftersom du kör proxy så måste du tänka på att din server där du gör förfrågan på certifikat från går att nå via https eftersom det är så den verifierar att din server verkligen är din server och att du äger domänen

Så man ska köra.

sudo certbot --apache
sudo certbot --apache certonly (Vad kommer denna att göra?)
sudo certbot -a dns-plugin -i apache -d "*.example.com" -d example.com --server https://acme-v02.api.letsencrypt.org/directory

Och sen gå till apache till web conf och sätta key & crt som borde då ligga i /etc/letsencrypt/live/?

Man är inte dum för att man har stavproblem.
Läs mer om min synfel Visual Snow
Om mig ----> #16970666

Trädvy Permalänk
Medlem
Registrerad
Dec 2008
Skrivet av superegg:

Man vill ju inte att den ändra något i apache-config förut om att skapa crt & key.

Så man ska köra.

sudo certbot --apache
sudo certbot --apache certonly (Vad kommer denna att göra?)
sudo certbot -a dns-plugin -i apache -d "*.example.com" -d example.com --server https://acme-v02.api.letsencrypt.org/directory

Och sen gå till apache till web conf och sätta key & crt som borde då ligga i /etc/letsencrypt/live/?

Nej, med "sudo certbot --apache" kommer den göra allt per automatik med de domäner den hittar i apache-configurationen. Jag tror det räcker med kommandot jag skrev från början när certbot är installerat. Första gången får man lite mer frågor att svara på bara.

Trädvy Permalänk
Medlem
Plats
Göteborg
Registrerad
Jul 2016
Skrivet av jocke92:

Nej, med "sudo certbot --apache" kommer den göra allt per automatik med de domäner den hittar i apache-configurationen. Jag tror det räcker med kommandot jag skrev från början när certbot är installerat. Första gången får man lite mer frågor att svara på bara.

ah, får kolla på det imorgon. Tack för kommando, glömde helt bort den.

Man är inte dum för att man har stavproblem.
Läs mer om min synfel Visual Snow
Om mig ----> #16970666

Trädvy Permalänk
Medlem
Plats
Malmö
Registrerad
Feb 2013

Om det är Nextcloud VMen eller scripten som du använt så finns det en färdig lösning redan: https://github.com/nextcloud/vm/blob/master/lets-encrypt/acti...

Citera för svar

- Stora Owncloud/Nextcloud-tråden: http://www.sweclockers.com/forum/122-server/1212245-officiell...
- Min blogg: Tech & Me https://www.techandme.se

Trädvy Permalänk
Medlem
Plats
Göteborg
Registrerad
Jul 2016
Skrivet av enoch85:

Om det är Nextcloud VMen eller scripten som du använt så finns det en färdig lösning redan: https://github.com/nextcloud/vm/blob/master/lets-encrypt/acti...

Stämmer bra, men hade tänkt att fixa dom andra domäner när jag ändå håller på med det.

Man är inte dum för att man har stavproblem.
Läs mer om min synfel Visual Snow
Om mig ----> #16970666