Pomoc Lets encrypt w QTS4.3

[badziewiak]

Witam
Próbuję zgłębić temat certyfikatów ssl let's encrypt, ale mam kilka niejasności:
1. Rozglądałem się za jakimś generatorem off-line na Windows. Zaskoczyło mnie, że potrzebuje do tego praw admina, więc nie uruchamiałem go. Może jest jakiś generator na samego QTS?
2. Są jakieś generatory on-line. Nie wiem, czy można im zaufać. Jaki powinien być serwer docelowy? Apache?
3. Czy sam QTS odnawia sobie certyfikaty, czy trzeba podmienić je ręcznie?
Ok, qnap starał się zrobić coś fajnego, ale chyba trochę coś nie wyszło:

a połączenie jest:

Zmiana bramy domyślnej na pierwszą też nic nie dała.

 

[badziewiak]

O widzę że problem ciągnie się już długo: Lets Encrypt Port 80 issue - QNAP NAS Community Forum

 

[grzenio]

Musisz mieć porty otwarte aby bot zweryfikował domene

 

[badziewiak]

Ale to tylko na chwilę czy na stałe? Otwarcie portu 80 trochę mnie przeraża.

 

[grzenio]

Wystarczy za pierwszym razem. Potem zrobić przekierowanie 80 na 443. Ten certyfikat musi się weryfikować i odnawiać co 3 miesiące.

Oczywiście ten cert jest dla moja_nazwa.myqnapcloud.com

 

[badziewiak]

No dobra, ale przecież port 80 jest domyślnie otwarty, choćby dla www. Czy muszę przekierować port 80 na NAS? To jakby bez sensu.

 

[Silas Mariusz]

Czy muszę przekierować port 80 na NAS? To jakby bez sensu.

No musisz. Autoryzacja ze strony Let's Encrypt jest
Tak samo jak 443.

 

[badziewiak]

Ciekawe co na to powie support. Zgłosiłem problem w niedzielę i wczoraj poprosili o aktywowanie zdalnej sesji w aplikacji helpdesk, bo na podst. przesłanych logów nie są w stanie zidentyfikować problemu. Na razie nie przekierowuję portu 80 na NAS, jakoś mam obawy.
Właśnie próbowałem przekierować port 80 na NAS, ale jest konflikt z portem do zarządzania routerem. Wiem, mogę to zmienić na inny port, ale chyba nie tak to powinno działać. To powinno być raczej dla laików (wiem, serwer nie jest dla laików). Zobaczymy co devsi wymyślą, siedzą mi od dwóch dni.

 

[Usunięty użytkownik pigers]

konflikt z portem do zarządzania routerem

 

[badziewiak]

Czy muszę przekierować port 80 na NAS? To jakby bez sensu.

No musisz. Autoryzacja ze strony Let's Encrypt jest
Tak samo jak 443.

No i sprawa jasna, masz rację. Podsunąłem tę myśl supportowi i odpisali:
unfortunately it is Let's Encrypt limitation, they require both 80 and 443 ports to be forwarded before applying the certificate. Afterwards it should not be needed however, could you try temporarily forwarding it and then let me know if the issue persists?
Zaproponowałem też, żeby jasno napisali w opisie okna wprowadzania danych, że port ma być przekierowany na NAS na czas pobierania certyfikatu zamiast otwarty (umożliwia dostęp do internetu).

 

[hijax]

Jak masz zewnętrzny serwer www, zrób na nim przekierowanie na Qnapa odwołań do katalogu ukrytego .well-known i tyko dla niego z portu 80, a sam dostęp do Qts po https.

 

[badziewiak]

Zapytałem sę supportu, czy do odnawiania certyfikatu jest konieczne przekierowanie portu 80 (i tę sugestię o opisie portów). Odpisał mi:

yes, unfortunately Let's Encrypt uses the same protocol for both authentication and renewing - there is no way to circumvent it, ports 80 and 443 simply have to be opened.
I will forward the information about text change to appropriate team.

 

[grzenio]

Ciekawe co na to powie support. Zgłosiłem problem w niedzielę i wczoraj poprosili o aktywowanie zdalnej sesji w aplikacji helpdesk, bo na podst. przesłanych logów nie są w stanie zidentyfikować problemu. Na razie nie przekierowuję portu 80 na NAS, jakoś mam obawy.
Właśnie próbowałem przekierować port 80 na NAS, ale jest konflikt z portem do zarządzania routerem. Wiem, mogę to zmienić na inny port, ale chyba nie tak to powinno działać. To powinno być raczej dla laików (wiem, serwer nie jest dla laików). Zobaczymy co devsi wymyślą, siedzą mi od dwóch dni.

Dev QNAPA

Zapytałem sę supportu, czy do odnawiania certyfikatu jest konieczne przekierowanie portu 80 (i tę sugestię o opisie portów). Odpisał mi:

yes, unfortunately Let's Encrypt uses the same protocol for both authentication and renewing - there is no way to circumvent it, ports 80 and 443 simply have to be opened.
I will forward the information about text change to appropriate team.

Ja mam u siebie przekierowanie 80 na 443 i problemu nie ma - dodatkowo postwailem nginxa z revers proxy i na nim letsencrypt plus swoja konfiguracja

 

[bartgrono]

Hej! Pytanko.

Czy domena może być publicznym adresem ip? Jeżeli nie to już wiem dlaczego nie działa

 

[grzenio]

oczywiście że nie. jak sama nazwa mówi DOMENA to domena

 

[bartgrono]

oczywiście że nie. jak sama nazwa mówi DOMENA to domena

Dzięki!

 

[Ciangi]

Hej! Pytanko.

Czy domena może być publicznym adresem ip? Jeżeli nie to już wiem dlaczego nie działa

W sieci lokalnej może być.

np. w Twojej sieci znajduje sie komputer o adresie ip 192.168.3.15
i powiedzmy, ze udostepnia on serwer www.
No to żeby się nie meczyc i wpisywac calego adresu ip, mozesz przydzielic mu domene dopisując w C:/Windows/System32/drivers/etc/hosts
192.168.3.15 example.com

I w ten o to sposób nadałes mu domene i po wpisaniu example.com polaczysz sie z jego serwer www.

 

[bartgrono]

Hej! Pytanko.

Czy domena może być publicznym adresem ip? Jeżeli nie to już wiem dlaczego nie działa

W sieci lokalnej może być.

np. w Twojej sieci znajduje sie komputer o adresie ip 192.168.3.15
i powiedzmy, ze udostepnia on serwer www.
No to żeby się nie meczyc i wpisywac calego adresu ip, mozesz przydzielic mu domene dopisując w C:/Windows/System32/drivers/etc/hosts
192.168.3.15 example.com

I w ten o to sposób nadałes mu domene i po wpisaniu example.com polaczysz sie z jego serwer www.

Dzięki, ale nie uciekajmy z tematem. Chodzi o "Lets encrypt w QTS4.3"