Lorawan-stack: 동일한 시스템의 apache + ttn 스택 + letsencrypt acme 인증서에 문제가 발생합니다.

에 만든 2019년 12월 19일 · 5코멘트 · 출처: TheThingsNetwork/lorawan-stack

버그 보고서를 제출해 주셔서 감사합니다. 아래 템플릿을 작성하지 않으면 이 버그 보고서를 처리할 수 없습니다.

요약

ttn 머신에서 아파치가 설치되고 활성화될 때(80/443 수신) 문제가 발생합니다.
TTN 콘솔은 80/443 포트에서 차단되고 1885,8885 포트에서 작동합니다.

이 경우 인증서를 가져오거나 업데이트할 수 없습니다.
누군가가 TTN 스택과 일부 DB/웹 앱을 동일한 장치에 배치하려는 경우 매우 일반적인 상황입니다.

https://github.com/TheThingsNetwork/lorawan-stack/issues/1731

TTN에 오류가 표시됩니다: 누락된 인증서/또는 호스트가 화이트리스트에 없습니다.

번식 단계

문제를 어떻게 재현할 수 있습니까?

1) Apache가 활성 상태일 때(80, 443에서 수신) 포트 구성 - ttn 스택은 80, 443 포트를 활성화할 수 없습니다(80,443은 # docker-compose.yml에서 #이어야 함 - 포트 1885, 8885가 사용됨) . 이것에서 (docker-compose는 letsencrypt 인증서를 얻지 못합니다).

docker-compose.yml 파일:

   ports:
(hashed)      - '80:1885'
(hashed)     - '443:8885'
      - '1882:1882'
      - '8882:8882'
      - '1883:1883'
      - '8883:8883'
      - '1884:1884'
      - '8884:8884'
      - '1885:1885'
      - '8885:8885'
      - '8886:8886'
      - '1887:1887'
      - '8887:8887'
      - '1700:1700/udp'
    env_file: '.env'

.env 파일이 포트를 443 대신 8885로 이동했습니다.

TTN_LW_IS_EMAIL_NETWORK_CONSOLE_URL=https://subdomain.example.com:8885/console
TTN_LW_IS_EMAIL_NETWORK_IDENTITY_SERVER_URL=https://subdomain.example.com:8885/oauth

TTN_LW_IS_OAUTH_UI_CANONICAL_URL=https://subdomain.example.com:8885/oauth
TTN_LW_IS_OAUTH_UI_IS_BASE_URL=https://subdomain.example.com:8885/api/v3

TTN_LW_CONSOLE_OAUTH_AUTHORIZE_URL=https://subdomain.example.com:8885/oauth/authorize
TTN_LW_CONSOLE_OAUTH_TOKEN_URL=https://subdomain.example.com:8885/oauth/token

TTN_LW_CONSOLE_UI_CANONICAL_URL=https://subdomain.example.com:8885/console
TTN_LW_CONSOLE_UI_AS_BASE_URL=https://subdomain.example.com:8885/api/v3
TTN_LW_CONSOLE_UI_GS_BASE_URL=https://subdomain.example.com:8885/api/v3
TTN_LW_CONSOLE_UI_IS_BASE_URL=https://subdomain.example.com:8885/api/v3
TTN_LW_CONSOLE_UI_JS_BASE_URL=https://subdomain.example.com:8885/api/v3
TTN_LW_CONSOLE_UI_NS_BASE_URL=https://subdomain.example.com:8885/api/v3
TTN_LW_CONSOLE_UI_EDTC_BASE_URL=https://subdomain.example.com:8885/api/v3
TTN_LW_CONSOLE_UI_QRG_BASE_URL=https://subdomain.example.com:8885/api/v3

2) 우리가:
아파치 중지 (서비스 apache2 중지)
활성화하도록 ttn-stack을 재구성합니다(80, 443 포트 - 제거(해시))
웹 브라우저를 사용하여 기본 하위 도메인에 연결하면 인증서를 성공적으로 가져옵니다(80/443 포트에서).

docker-compose.yml 파일:

  ports:
      - '80:1885'
      - '443:8885'
      - '1882:1882'
      - '8882:8882'
      - '1883:1883'
      - '8883:8883'
      - '1884:1884'
      - '8884:8884'
(hashed)      - '1885:1885'
(hashed)     - '8885:8885'
      - '8886:8886'
      - '1887:1887'
      - '8887:8887'
      - '1700:1700/udp'
    env_file: '.env'

.env 파일 표준 포트 443 사용 - 이 경우 ttn은 letsencrypt 인증서를 얻습니다.

TTN_LW_IS_EMAIL_NETWORK_CONSOLE_URL=https://subdomain.example.com/console
TTN_LW_IS_EMAIL_NETWORK_IDENTITY_SERVER_URL=https://subdomain.example.com/oauth


TTN_LW_IS_OAUTH_UI_CANONICAL_URL=https://subdomain.example.com/oauth
TTN_LW_IS_OAUTH_UI_IS_BASE_URL=https://subdomain.example.com/api/v3

TTN_LW_CONSOLE_OAUTH_AUTHORIZE_URL=https://subdomain.example.com/oauth/authorize
TTN_LW_CONSOLE_OAUTH_TOKEN_URL=https://subdomain.example.com/oauth/token

TTN_LW_CONSOLE_UI_CANONICAL_URL=https://subdomain.example.com/console
TTN_LW_CONSOLE_UI_AS_BASE_URL=https://subdomain.example.com/api/v3
TTN_LW_CONSOLE_UI_GS_BASE_URL=https://subdomain.example.com/api/v3
TTN_LW_CONSOLE_UI_IS_BASE_URL=https://subdomain.example.com/api/v3
TTN_LW_CONSOLE_UI_JS_BASE_URL=https://subdomain.example.com/api/v3
TTN_LW_CONSOLE_UI_NS_BASE_URL=https://subdomain.example.com/api/v3
TTN_LW_CONSOLE_UI_EDTC_BASE_URL=https://subdomain.example.com/api/v3
TTN_LW_CONSOLE_UI_QRG_BASE_URL=https://subdomain.example.com/api/v3

3) 이제 인증서를 업데이트한 경우 첫 번째 구성(아파치에서 사용하는 포트 80/443, 콘솔에 1885/8885 사용)으로 다시 전환할 수 있습니다. 그리고 https://subdomain.domain.com 에서 성공적으로 열린 콘솔:8885 /.

지금 무엇을 볼 수 있습니까?

터미널 출력을 붙여넣거나 로그를 업로드하거나(.txt로) 스크린샷을 업로드하세요.

...

대신 무엇을 보고 싶습니까?

해당되는 경우 몇 가지 예 또는 모형을 추가하십시오.

...

환경

귀하의 환경: OS/브라우저/게이트웨이/디바이스/...? 버전? ID/EUI? 해당되는 경우 "ttn-lw-cli version" 또는 "ttn-lw-stack version"의 출력을 붙여넣습니다.

...

이를 구현하기 위해 어떻게 제안합니까?

동일한 시스템에서 ttn과 apache를 모두 구성하는 방법이 있습니까?또는 강제로 암호화하여 다른 포트에서 인증을 받도록 하시겠습니까?

이 작업을 직접 수행하고 Pull Request를 제출할 수 있습니까?

도움이 필요한 경우 전문가를 @멘션 할 수도 있습니다.

...

documentation

출처

ecities

가장 유용한 댓글

역방향 프록시 뒤에서 The Things Stack을 실행할 때 구성에서 TLS를 완전히 비활성화하고 프록시가 모든 TLS 연결(HTTP뿐만 아니라 gRPC, MQTT 등)을 종료하도록 해야 합니다. Things Stack의 모든 TLS 수신기를 비활성화하는 방법과 역 프록시에서 매핑해야 하는 포트를 문서화할 수 있다고 가정합니다.

나는 이것을 할 사람들이 그들의 프록시가 어떻게 작동하는지 이미 알고 있다고 기대할 수 있다고 생각합니다. 그래서 우리가 apache/nginx/haproxy/envoy/etc로 이것을 하는 방법을 구체적으로 문서화해야 한다고 생각하지 않습니다.

htdvisser 에 2019년 12월 19일

👍2

모든 5 댓글

htdvisser 에 2019년 12월 19일

👍2

안녕하세요 @htdvisser님 , 답변 감사합니다.

공용/고정 IP 주소(LTE 기반)를 사용하여 로컬 컴퓨터에서 테스트했습니다. 네트워크 구조가 무엇인지 모르겠습니다.
또한 인터넷 측에서 직접 VPS(ovh.eu)를 테스트했습니다. 공급자에 따르면 프록시와 방화벽이 없습니다(일부 DoS만).

두 변형 모두 동일해야 합니다(각 클라이언트/IP 스테이션에 대한 표준 80/443 포트에서 인증서 초기화).
나중에 콘솔을 다른 포트(1885/8885)로 전환할 수 있습니다.

네트워크 구조에 관계없이 VPS 또는 모든 공용/고정 IP 장치와 관련하여 또 다른 문제가 있습니다.

잠시 "콘솔 로그 화면"을 보니 TTN 스택에서 보고된 "해커 활동 시도"가 많이 있습니다(화면에는 표준 http/htts 포트에 대한 웹 공격만 표시됨). 도메인/하위 도메인에는 dns 레코드만 있고 로봇/검색 엔진이 검색할 수 있는 웹페이지에 사용되지 않았습니다. 나는 해커 로봇이 응답 장치에 대한 모든 고정 IP4 주소를 검색하고 조만간 장치를 찾아 해커 기계에 의해 공격할 것이라고 가정합니다. 따라서 100% 안전하더라도 알려진 http/https 포트에 대한 대규모 공격으로 서버를 바쁘게 만드는 것은 매우 쉽습니다.

콘솔/웹 인터페이스에 80/443 포트를 사용하지 않는 것이 매우 합리적이며 TTN 스택 콘솔에 대해 변경할 가능성이 있다고 생각합니다. 관리 목적(공개 아님)이며 관리자는 이 설정을 알고 있습니다.

유일한 질문은 다음과 같습니다.
계획 A) 다른 포트에서 acme/letsencrypt 인증서를 자동으로 생성/새로고침하는 방법은 무엇입니까?
계획 B) 관리를 위해 최소한 몇 가지 알려진 호스트(예: 고정 IP)에 대해 여기에 설명된 위의 수동 절차를 자동화할 수 있습니까?

ecities 에 2019년 12월 19일

ACME의 HTTP-01 및 TLS-ALPN-01 챌린지 사양에서는 포트 80/443을 사용해야 합니다. 다른 포트를 사용하는 경우 이러한 챌린지를 사용하여 인증서를 얻거나 갱신할 수 없습니다.

certbot(이는 설명서 범위 밖) 또는 유료 인증 기관(또한 설명서 범위 밖)과 같은 도구를 사용하여 DNS-01 챌린지를 사용하여 ACME 인증서를 요청할 수 있습니다.

이러한 인증서가 있는 경우 "사용자 지정 인증서" 지침에 따라 사물 스택을 구성할 수 있습니다. https://thethingsstack.io/v3.3.2/guides/getting-started/certificates/#custom -certificates 및 다음 환경에서 :

TTN_LW_TLS_SOURCE=file
TTN_LW_TLS_CERTIFICATE=/path/to/cert-chain.pem
TTN_LW_TLS_CERTIFICATE=/path/to/key.pem

htdvisser 에 2019년 12월 19일

👍1

TLS 종료 프록시 뒤에서 실행하기 위해 Things Stack을 구성하는 방법을 문서화하기 위해 https://github.com/TheThingsNetwork/lorawan-stack/issues/1760 문제를 만들었습니다.

Things Stack에서 외부에서 요청한 인증서를 구성하는 방법을 문서화하기 위해 https://github.com/TheThingsNetwork/lorawan-stack/issues/1761 문제를 만들었습니다.

htdvisser 에 2019년 12월 19일

감사 해요

ecities 에 2019년 12월 19일

이 페이지가 도움이 되었나요?

0 / 5 - 0 등급

Lorawan-stack: 동일한 시스템의 apache + ttn 스택 + letsencrypt acme 인증서에 문제가 발생합니다.

요약

번식 단계

지금 무엇을 볼 수 있습니까?

대신 무엇을 보고 싶습니까?

환경

이를 구현하기 위해 어떻게 제안합니까?

이 작업을 직접 수행하고 Pull Request를 제출할 수 있습니까?

가장 유용한 댓글

모든 5 댓글

관련 문제