Certbot: mandiri harus memungkinkan port alternatif untuk mengikat (tetapi tidak mengautentikasi ke)

Saya yakin klien sudah memiliki fungsionalitas yang Anda inginkan, namun, itu tidak disajikan dengan cara yang sangat ramah pengguna karena terutama digunakan untuk pengujian. Klien memiliki tanda berikut:

  --tls-sni-01-port TLS_SNI_01_PORT
                        Port number to perform tls-sni-01 challenge. Boulder
                        in testing mode defaults to 5001. (default: 443)
  --http-01-port HTTP01_PORT
                        Port used in the SimpleHttp challenge. (default: 80)

Bendera ini memungkinkan Anda untuk menentukan port mana yang disiapkan klien untuk tantangan validasi domain. Secara umum, --tls-sni-01 harus menjadi port tujuan Anda merutekan lalu lintas port 443 masuk dan --http-01-port harus menjadi port tujuan Anda merutekan lalu lintas port 80 masuk.

Anda tidak perlu menggunakan kedua bendera, namun, mandiri secara default melakukan tantangan lebih dari 443. Anda dapat mengontrol perilaku ini dengan menggunakan bendera berikut:

  --standalone-supported-challenges STANDALONE_SUPPORTED_CHALLENGES
                        Supported challenges. Preferred in the order they are
                        listed. (default: tls-sni-01,http-01)

Semoga membantu!

Terima kasih, saya akan mencobanya besok.

Jika ini berhasil, itu harus benar-benar digunakan sebagai contoh. Jauh lebih mudah untuk memulai ulang server untuk mengaktifkan/menonaktifkan proxy yang melewati port tersebut daripada membuat semuanya offline untuk menangani proses verifikasi,

Pada 22 Maret 2016, pukul 15:16, bmw [email protected] menulis:

Saya yakin klien sudah memiliki fungsionalitas yang Anda inginkan, namun, itu tidak disajikan dengan cara yang sangat ramah pengguna karena terutama digunakan untuk pengujian. Klien memiliki tanda berikut:

--tls-sni-01-port TLS_SNI_01_PORT
Nomor port untuk melakukan tantangan tls-sni-01. Batu besar
dalam mode pengujian default ke 5001. (default: 443)
--http-01-port HTTP01_PORT
Port yang digunakan dalam tantangan SimpleHttp. (bawaan: 80)
Bendera ini memungkinkan Anda untuk menentukan port mana yang disiapkan klien untuk tantangan validasi domain. Secara umum, --tls-sni-01 harus menjadi port tempat Anda mengarahkan lalu lintas port 443 masuk dan --http-01-port harus menjadi port tujuan lalu lintas port 80 masuk.

Anda tidak perlu menggunakan kedua bendera, namun, mandiri secara default melakukan tantangan lebih dari 443. Anda dapat mengontrol perilaku ini dengan menggunakan bendera berikut:

--tantangan yang didukung mandiri STANDALONE_SUPPORTED_CHALLENGES
Tantangan yang didukung. Lebih disukai sesuai urutannya
terdaftar. (default: tls-sni-01,http-01)
Semoga membantu!

—
Anda menerima ini karena Anda yang menulis utas.
Balas email ini secara langsung atau lihat di GitHub

@jvanasco kebanyakan orang menggunakan plugin webroot untuk kasus penggunaan itu tetapi ya, contoh proxy pass nginx bisa jadi bagus. Jangan ragu untuk membuat PR yang menambahkan satu ke dokumen; ini adalah kasus penggunaan yang cukup khusus sehingga mungkin harus mendapatkan bagian baru di bagian bawah file ini:

https://github.com/letsencrypt/letsencrypt/blob/master/docs/using.rst

Namun Anda dapat menautkannya dari bagian Standalone yang ada:

https://github.com/letsencrypt/letsencrypt/blob/master/docs/using.rst#standalone

Kami tidak pernah mendengar kabar ini jadi saya menutup masalah ini. Silakan komentar meneriaki saya jika Anda ingin saya membuka kembali.

Ini sepertinya tidak berhasil. @bmw

/usr/local/bin/certbot-auto certonly --http-01-port 8484 --config-dir /etc/letsencrypt --work-dir /var/lib/letsencrypt --logs-dir /var/log/letsencrypt --standalone --standalone-supported-challenges http-01 --email [email protected] --domains example.com --agree-tos --non-interactive

tcp        0      0 0.0.0.0:8484                0.0.0.0:*                   LISTEN      7270/python2

Saya melihat otentikasi dilakukan pada port 80, namun server python2 memulai pada 8484.

Nginx di Port 80

66.133.109.36 - - [25/Aug/2016:12:41:15 +0100] "GET /.well-known/acme-challenge/xxxxxxxx HTTP/1.1" 200 87 "-" "Mozilla/5.0 (compatible; Let's Encrypt validation server; +https://www.letsencrypt.org)"

EDIT:
Saya melihat --tls-sni-01-port 5001 --http-01-port 5002 keduanya diperlukan!

Sunting:
Saya masih tidak lebih bijaksana tentang bagaimana menjalankan server mandiri dan mengautentikasinya

Juga mengalami masalah dengan --tls-sni-01-port diabaikan:

# certbot certonly --noninteractive --email "matt.hanley@****" --domain **** --agree-tos --tls-sni-01-port 40443 --http-01-port 4080 --standalone  
Failed authorization procedure. ****** (tls-sni-01): urn:acme:error:unauthorized :: The client lacks sufficient authorization :: Incorrect validation certificate for TLS-SNI-01 challenge. Requested 2af2853170e5be7e86cdff79d0ca****.febd4f14bb130b15910f30587cf4****.acme.invalid from 185.***.***.***:443. Received certificate containing '*****'

Perhatikan bahwa permintaan sebenarnya pergi ke :443 ; Saya sudah menjalankan layanan HTTPS pada :443 yang menyajikan sertifikat yang berbeda. Namun, ini berfungsi dengan renew .

Juga memiliki masalah dengan --tls-sni-01-port :

certbot certonly -n -d example.com --agree-tos --email "[email protected]" --standalone --tls-sni-01-port 8443 --http-01-port 8080

Failed to connect to 1.2.3.4:443 for TLS-SNI-01

--http-01-port / --tls-sni-01-port tidak mengizinkan Anda untuk menentukan port Let's Encrypt mana yang akan terhubung ke server Anda. Itu akan selalu menggunakan 80/443 masing-masing. Semua flag ini memungkinkan Anda untuk mengontrol port mana yang Certbot dengarkan untuk plugin seperti standalone. Ini berguna jika Anda merutekan semua lalu lintas port 80 ke port 8080 misalnya.

Ya hanya sebagai peringatan, pada dasarnya Anda harus memiliki port 80 yang dapat diakses di alamat IP publik.

Sesuatu yang sangat kurang dalam dokumentasi, juga berarti Let's Encrypt tidak cocok untuk tujuan minoritas yang tidak dapat mengontrol lalu lintas masuk di 80 (kemungkinan China / ISP tertentu, firewall Corp)

Saya membaca beberapa posting di sekitar ini, sepertinya kemampuan untuk mendengarkan pada 80 dianggap sebagai keuntungan keamanan/ukuran kepercayaan karena itu adalah port istimewa pada kotak Nix.

Meskipun tampaknya mari mengenkripsi tidak mengenali penggunaan sertifikat di luar server web .. misalnya server email dll, saya mungkin hanya ingin boot cepat pada port 7722 dari aplikasi node untuk menangani auth kemudian mematikan seperti yang saya lakukan ' t menjalankan server web .. tapi pergi mencari.

Juga berarti jika Anda menggunakan otomatisasi seperti Chef misalnya, Anda perlu mengonfigurasi sertifikat yang ditandatangani sendiri untuk dapat mem-boot nginx Anda mengingat konfigurasi akan memiliki SSL di dalamnya harus memiliki setidaknya sertifikat yang valid.

Pilihan lain meskipun jika Anda menjalankan SSL saja adalah memiliki server web yang berbeda melayani 80 sehingga dapat memastikan sertifikat diunduh sebelum nginx mencoba untuk boot. (Pengaturan yang mengganggu)

Penerapan chef saya sekarang dijalankan melalui yang berikut:

1. Instal sertifikat yang ditandatangani sendiri.
2. Boot nginx (dengan sertifikat mandiri)
3. Jalankan sertifikat
4. Sertifikat Symlink ke lokasi saya
5. Muat ulang nginx

dikirim dari iPhone saya

Pada 15 Sep 2016, pukul 23:18, Brad Warren [email protected] menulis:

--http-01-port/--tls-sni-01-port tidak mengizinkan Anda untuk menentukan port mana Let's Encrypt akan terhubung ke server Anda. Itu akan selalu menggunakan 80/443 masing-masing. Semua flag ini memungkinkan Anda untuk mengontrol port mana yang Certbot dengarkan untuk plugin seperti standalone. Ini berguna jika Anda merutekan semua lalu lintas port 80 ke port 8080 misalnya.

—
Anda menerima ini karena Anda berkomentar.
Balas email ini secara langsung, lihat di GitHub, atau matikan utasnya.

Server web saya mendengarkan hanya pada satu port untuk koneksi SSL dan itu bukan default 443. Ini karena server web berada di belakang layanan VPN yang memungkinkan penerusan porta, tetapi tidak mengizinkan penerusan porta ke port 80 atau 443.

Saya mencoba mengonfigurasi Let's Encrypt pada server ini tetapi di log saya dapat melihat klien acme mencoba terhubung pada port 80 (yang tidak dapat diakses) dan gagal.

Kesalahan yang saya dapatkan adalah status "Tidak dapat terhubung" 400.

Nilai "addressesResolved" benar, hanya saja nilai "port" adalah 80 dan semua url salah, karena mereka harus memiliki port kustom saya yang ditentukan, misalnya subdomain.domain. tld:1234 di mana 1234 adalah port kustom saya.

Apakah ada cara untuk membuatnya bekerja dengan pengaturan saya?

Dari @gsdevme saya mendapat kesan saya harus memiliki port 80 yang dapat diakses publik...

_ANDA HARUS MEMILIKI PORT 80 YANG DAPAT DIAKSES UMUM UNTUK SERVER ACME UNTUK VERIFIKASI._

_SOLUSI INI HANYA UNTUK MENJALANKAN SERVER PADA PORT ALTERNATIF INTERNAL, DAN PROXY DARI PORT80 KE PORT ALTERNATIF._

_JIKA ANDA TIDAK MEMILIKI PORT80 YANG DAPAT DIAKSES, ANDA HARUS MENGGUNAKAN VERIFIKASI DNS._
_JIKA ANDA TIDAK MEMILIKI PORT80 YANG DAPAT DIAKSES, ANDA HARUS MENGGUNAKAN VERIFIKASI DNS._
_JIKA ANDA TIDAK MEMILIKI PORT80 YANG DAPAT DIAKSES, ANDA HARUS MENGGUNAKAN VERIFIKASI DNS._
_JIKA ANDA TIDAK MEMILIKI PORT80 YANG DAPAT DIAKSES, ANDA HARUS MENGGUNAKAN VERIFIKASI DNS._
_JIKA ANDA TIDAK MEMILIKI PORT80 YANG DAPAT DIAKSES, ANDA HARUS MENGGUNAKAN VERIFIKASI DNS._
_JIKA ANDA TIDAK MEMILIKI PORT80 YANG DAPAT DIAKSES, ANDA HARUS MENGGUNAKAN VERIFIKASI DNS._
_JIKA ANDA TIDAK MEMILIKI PORT80 YANG DAPAT DIAKSES, ANDA HARUS MENGGUNAKAN VERIFIKASI DNS._
_JIKA ANDA TIDAK MEMILIKI PORT80 YANG DAPAT DIAKSES, ANDA HARUS MENGGUNAKAN VERIFIKASI DNS._
_JIKA ANDA TIDAK MEMILIKI PORT80 YANG DAPAT DIAKSES, ANDA HARUS MENGGUNAKAN VERIFIKASI DNS._
_JIKA ANDA TIDAK MEMILIKI PORT80 YANG DAPAT DIAKSES, ANDA HARUS MENGGUNAKAN VERIFIKASI DNS._
_JIKA ANDA TIDAK MEMILIKI PORT80 YANG DAPAT DIAKSES, ANDA HARUS MENGGUNAKAN VERIFIKASI DNS._
_JIKA ANDA TIDAK MEMILIKI PORT80 YANG DAPAT DIAKSES, ANDA HARUS MENGGUNAKAN VERIFIKASI DNS._
_JIKA ANDA TIDAK MEMILIKI PORT80 YANG DAPAT DIAKSES, ANDA HARUS MENGGUNAKAN VERIFIKASI DNS._
_JIKA ANDA TIDAK MEMILIKI PORT80 YANG DAPAT DIAKSES, ANDA HARUS MENGGUNAKAN VERIFIKASI DNS._
_JIKA ANDA TIDAK MEMILIKI PORT80 YANG DAPAT DIAKSES, ANDA HARUS MENGGUNAKAN VERIFIKASI DNS._
_JIKA ANDA TIDAK MEMILIKI PORT80 YANG DAPAT DIAKSES, ANDA HARUS MENGGUNAKAN VERIFIKASI DNS._
_JIKA ANDA TIDAK MEMILIKI PORT80 YANG DAPAT DIAKSES, ANDA HARUS MENGGUNAKAN VERIFIKASI DNS._
_JIKA ANDA TIDAK MEMILIKI PORT80 YANG DAPAT DIAKSES, ANDA HARUS MENGGUNAKAN VERIFIKASI DNS._
_JIKA ANDA TIDAK MEMILIKI PORT80 YANG DAPAT DIAKSES, ANDA HARUS MENGGUNAKAN VERIFIKASI DNS._
_JIKA ANDA TIDAK MEMILIKI PORT80 YANG DAPAT DIAKSES, ANDA HARUS MENGGUNAKAN VERIFIKASI DNS._
_JIKA ANDA TIDAK MEMILIKI PORT80 YANG DAPAT DIAKSES, ANDA HARUS MENGGUNAKAN VERIFIKASI DNS._
_JIKA ANDA TIDAK MEMILIKI PORT80 YANG DAPAT DIAKSES, ANDA HARUS MENGGUNAKAN VERIFIKASI DNS._
_JIKA ANDA TIDAK MEMILIKI PORT80 YANG DAPAT DIAKSES, ANDA HARUS MENGGUNAKAN VERIFIKASI DNS._
_JIKA ANDA TIDAK MEMILIKI PORT80 YANG DAPAT DIAKSES, ANDA HARUS MENGGUNAKAN VERIFIKASI DNS._
_JIKA ANDA TIDAK MEMILIKI PORT80 YANG DAPAT DIAKSES, ANDA HARUS MENGGUNAKAN VERIFIKASI DNS._
_JIKA ANDA TIDAK MEMILIKI PORT80 YANG DAPAT DIAKSES, ANDA HARUS MENGGUNAKAN VERIFIKASI DNS._
_JIKA ANDA TIDAK MEMILIKI PORT80 YANG DAPAT DIAKSES, ANDA HARUS MENGGUNAKAN VERIFIKASI DNS._
_JIKA ANDA TIDAK MEMILIKI PORT80 YANG DAPAT DIAKSES, ANDA HARUS MENGGUNAKAN VERIFIKASI DNS._

Terima kasih atas jawabannya @jvanasco. Sayang sekali saya tidak dapat menentukan port khusus. Verifikasi DNS bukanlah pilihan, karena penyedia DNS Dinamis saya http://freedns.afraid.org/ tidak memiliki antarmuka untuk mengubah data TXT secara otomatis.

@jvanasco Meskipun saya tahu jawaban Anda benar sekali, alangkah baiknya jika kita semua sedikit tenang sebelum menjawab :D

Apakah ada perkiraan waktu kapan ini akan dapat dikonfigurasi? Karena saya yakin ada banyak orang yang menjalankan server web pada port khusus.

Ini tidak dapat dikonfigurasi dengan pilihan desain

dikirim dari iPhone saya

Pada 14 Februari 2017, pukul 16:16, nvaert1986 [email protected] menulis:

Apakah ada perkiraan waktu kapan ini akan dapat dikonfigurasi? Karena saya yakin ada banyak orang yang menjalankan server web pada port khusus.

—
Anda menerima ini karena Anda disebutkan.
Balas email ini secara langsung, lihat di GitHub, atau matikan utasnya.

Masalah yang sama di sini, tetapi untuk tujuan buruh pelabuhan.

Masalah :
Saya tidak ingin mengemas perintah certbot dengan perintah mulai server web saya karena itu akan selalu gagal di lingkungan non-prod.
Jadi saya ingin membuat gambar spesifik yang berisi certbot yang:

• minta sertifikatnya dong
• letakkan sertifikat di dalam volume yang dibagikan dengan server web saya

Tetapi solusi ini hanya akan berfungsi jika saya menghentikan wadah server web saya, yang sudah terikat pada port 80 dan 443.

Solusi:
Memiliki kemampuan untuk mengubah port certbot. Itu akan memungkinkan wadah certbot dan server web berjalan secara paralel.

Menggunakan validasi DNS dapat memecahkan kasus penggunaan.

dikirim dari iPhone saya

Pada 26 Februari 2017, pukul 23:32, NilsRenaud [email protected] menulis:

Masalah yang sama di sini, tetapi untuk tujuan buruh pelabuhan.

Masalah :
Saya tidak ingin mengemas perintah certbot dengan perintah mulai server web saya karena itu akan selalu gagal di lingkungan non-prod.
Jadi saya ingin membuat gambar spesifik yang berisi certbot yang:

minta sertifikatnya dong
letakkan sertifikat di dalam volume yang dibagikan dengan server web saya
Tetapi solusi ini hanya akan berfungsi jika saya menghentikan wadah server web saya, yang sudah terikat pada port 80 dan 443.

Solusi:
Memiliki kemampuan untuk mengubah port certbot. Itu akan memungkinkan wadah certbot dan server web berjalan secara paralel.

—
Anda menerima ini karena Anda disebutkan.
Balas email ini secara langsung, lihat di GitHub, atau matikan utasnya.

Itu bisa tetapi mode validasi ini tidak dimungkinkan dengan mode mandiri :/
(dari: https://certbot.eff.org/docs/using.html#plugins)

Sepertinya jalan tengah yang masuk akal tanpa mengorbankan keamanan akan memungkinkan penemuan port melalui catatan DNS SRV. Letsencrypt dapat meminta catatan seperti

_letsencrypt._tcp IN SRV 0 0 8080 10.10.10.10

pada domain dan meneruskan permintaan verifikasi ke kombinasi alamat/port yang dihasilkan. Ini memiliki manfaat yang sama seperti verifikasi DNS tetapi tanpa kekurangan yang memerlukan pembaruan dinamis.

Ini juga berarti pengguna dapat dengan mudah memusatkan pengelolaan sertifikat mereka jika mereka mau, dengan merujuk server sertifikat pusat.

Bagaimana mengizinkan port alternatif membahayakan keamanan?

Utilitas FOSS ini dapat membantu Anda untuk mengotomatisasi pemasangan langsung dan tidak langsung sertifikat ACME ke host yang memiliki port TCP/443 sibuk, atau port TCP/443 belum diteruskan ke host tersebut:

https://www.actiu.net/sesele/

Di mana dokumentasi tentang cara kerja SeSeLe untuk memungkinkan penggunaan?
port berbeda dari 443?.

Pada 26 Oktober 2017 13:21, "Narcis Garcia" [email protected] menulis:

Utilitas FOSS ini dapat membantu Anda untuk mengotomatisasi pemasangan langsung dan tidak langsung dari
Sertifikat ACME untuk host yang memiliki port TCP/443 sibuk, atau tidak memiliki TCP/443
port diteruskan ke mereka:

https://www.actiu.net/sesele/

—
Anda menerima ini karena Anda berlangganan utas ini.
Balas email ini secara langsung, lihat di GitHub
https://github.com/certbot/certbot/issues/2697#issuecomment-339754606 ,
atau matikan utasnya
https://github.com/notifications/unsubscribe-auth/AAOGHuxKLiYjM4-cME-0GBu9Ujoe0NB_ks5swM20gaJpZM4H1uae
.

Silakan, buka masalah forum SeSeLe untuk memungkinkan koordinasi dokumentasi yang lebih baik. (Jawaban ditulis dalam dokumentasi SeSeLe sekarang)

Mungkin masalah ini bisa ditinjau kembali? Masih belum ada solusi untuk masalah mendasar. Ya, Anda dapat mengikat mandiri ke port yang berbeda tetapi itu tidak berguna karena otoritas masih akan terhubung ke 80/443.

Jika Anda memiliki server yang sudah berjalan pada 80/443 mungkin dalam produksi, terkadang Anda tidak mampu untuk membebaskan port tersebut. Menempatkan file tantangan secara manual juga bisa menjadi masalah (server berjalan di Docker).

Solusi sebenarnya di sini adalah menentukan satu set port yang lebih tinggi (10.000+) di mana otoritas akan mencoba untuk terhubung sebagai fallback atau sesuatu seperti itu. Mungkin ada implikasi keamanan, bukan ahli.

Apa motivasi untuk menghubungkan LE hanya ke port 80/443? Apakah ini
batasan yang didokumentasikan secara formal?

Adakah yang bisa mengarahkan saya ke dokumen yang tepat?

Pada 30 Nov 2017 6:31 AM, "cen1" [email protected] menulis:

Mungkin masalah ini bisa ditinjau kembali? Masih belum ada solusi untuk
masalah mendasar. Ya, Anda dapat mengikat mandiri ke port yang berbeda tetapi itu
tidak ada gunanya karena ahority masih akan terhubung ke 80/443.

Jika Anda memiliki server yang sudah berjalan pada 80/443 mungkin dalam produksi, Anda
terkadang tidak mampu untuk membebaskan port tersebut. Menempatkan secara manual
file tantangan juga bisa bermasalah (server berjalan di Docker).

Solusi sebenarnya di sini adalah menentukan satu set port yang lebih tinggi (10
000+) di mana otoritas akan mencoba terhubung sebagai fallback atau semacamnya
seperti itu. Mungkin ada implikasi keamanan, bukan ahli.

—
Anda menerima ini karena Anda berlangganan utas ini.
Balas email ini secara langsung, lihat di GitHub
https://github.com/certbot/certbot/issues/2697#issuecomment-348162321 ,
atau matikan utasnya
https://github.com/notifications/unsubscribe-auth/AAOGHqWG9XZyTVDdAbm3t5xQ-AD6Y_OQks5s7pIDgaJpZM4H1uae
.

Apa motivasi untuk menghubungkan LE hanya ke port 80/443?
Apakah ini batasan yang didokumentasikan secara formal?

Adakah yang bisa mengarahkan saya ke dokumen yang tepat?

Ini adalah persyaratan forum CA/B saat ini yang dijelaskan di sini:
https://cabforum.org/2017/09/19/ballot-190-revised-validation-requirements/

Dan dijelaskan lebih panjang di sini: https://community.letsencrypt.org/t/support-for-ports-other-than-80-and-443/3419/100

Seperti yang saya pahami dengan bahasa Inggris saya yang buruk, di Forum CA/Browser mereka berdebat pada september 2017 tentang kemungkinan penambahan port TCP 25, 115, 22.
Tampaknya usulan itu disetujui dan harus efektif November ini.

Catatan dari masa depan JIKA seseorang datang ke sini dari Google (seperti saya):

2018-08-29 13:43:33,495: WARNING:certbot.plugins.standalone: 
The standalone specific supported challenges flag is deprecated. 
Please use the --preferred-challenges flag instead.

Jika Anda menggunakan nginx, Anda dapat menggunakan modul nginx dengan certbot certonly --nginx , modul ini masuk ke server nginx yang ada tanpa konfigurasi apa pun.

Tandai --http-01-port tidak terlalu intuitif juga saya tidak dapat menemukannya dalam bantuan perintah dan harus mencari tanda di google --http-01-port . Akan lebih baik jika bendera disebutkan dalam bantuan.