Lorawan-stack: стек apache + ttn на том же компьютере + сертификат letsencrypt acme получить проблему

Созданный на 19 дек. 2019 · 5Комментарии · Источник: TheThingsNetwork/lorawan-stack

Спасибо за сообщение об ошибке. Пожалуйста, заполните шаблон ниже, иначе мы не сможем обработать этот отчет об ошибке.

Резюме

проблема, когда apache установлен и включен (прослушивание 80/443) на машине ttn.
Консоль TTN заблокирована на 80/443 портах и работает на 1885 8885 портах.

В этом случае ttn не может получить / обновить сертификат.
Это очень распространенная ситуация, когда кто-то хочет разместить стек TTN и какое-то приложение DB / web на одном устройстве.

https://github.com/TheThingsNetwork/lorawan-stack/issues/1731

TTN показывает ошибку: пропущенный сертификат / или хост не в белом списке.

Действия по воспроизведению

Как мы можем воспроизвести проблему?

1) Когда apache активен (прослушивает 80, 443) конфигурация порта - стек ttn не позволяет включать 80, 443 порта (80 443 должно быть # в docker-compose.yml - используются порты 1885, 8885). В этом (docker-compose не получают сертификат letsencrypt).

docker-compose.yml файл:

   ports:
(hashed)      - '80:1885'
(hashed)     - '443:8885'
      - '1882:1882'
      - '8882:8882'
      - '1883:1883'
      - '8883:8883'
      - '1884:1884'
      - '8884:8884'
      - '1885:1885'
      - '8885:8885'
      - '8886:8886'
      - '1887:1887'
      - '8887:8887'
      - '1700:1700/udp'
    env_file: '.env'

.env file переместил порт на 8885 вместо 443:

TTN_LW_IS_EMAIL_NETWORK_CONSOLE_URL=https://subdomain.example.com:8885/console
TTN_LW_IS_EMAIL_NETWORK_IDENTITY_SERVER_URL=https://subdomain.example.com:8885/oauth

TTN_LW_IS_OAUTH_UI_CANONICAL_URL=https://subdomain.example.com:8885/oauth
TTN_LW_IS_OAUTH_UI_IS_BASE_URL=https://subdomain.example.com:8885/api/v3

TTN_LW_CONSOLE_OAUTH_AUTHORIZE_URL=https://subdomain.example.com:8885/oauth/authorize
TTN_LW_CONSOLE_OAUTH_TOKEN_URL=https://subdomain.example.com:8885/oauth/token

TTN_LW_CONSOLE_UI_CANONICAL_URL=https://subdomain.example.com:8885/console
TTN_LW_CONSOLE_UI_AS_BASE_URL=https://subdomain.example.com:8885/api/v3
TTN_LW_CONSOLE_UI_GS_BASE_URL=https://subdomain.example.com:8885/api/v3
TTN_LW_CONSOLE_UI_IS_BASE_URL=https://subdomain.example.com:8885/api/v3
TTN_LW_CONSOLE_UI_JS_BASE_URL=https://subdomain.example.com:8885/api/v3
TTN_LW_CONSOLE_UI_NS_BASE_URL=https://subdomain.example.com:8885/api/v3
TTN_LW_CONSOLE_UI_EDTC_BASE_URL=https://subdomain.example.com:8885/api/v3
TTN_LW_CONSOLE_UI_QRG_BASE_URL=https://subdomain.example.com:8885/api/v3

2) Когда мы:
остановить apache (остановка службы apache2)
перенастроить ttn-stack для включения (80, 443 порт - удалить (хеши))
подключитесь с веб-браузером к основному поддомену, он успешно получит сертификат (на портах 80/443)

docker-compose.yml файл:

  ports:
      - '80:1885'
      - '443:8885'
      - '1882:1882'
      - '8882:8882'
      - '1883:1883'
      - '8883:8883'
      - '1884:1884'
      - '8884:8884'
(hashed)      - '1885:1885'
(hashed)     - '8885:8885'
      - '8886:8886'
      - '1887:1887'
      - '8887:8887'
      - '1700:1700/udp'
    env_file: '.env'

.env file стандартные порты используются 443 - в этом случае ttn получает сертификат letsencrypt

TTN_LW_IS_EMAIL_NETWORK_CONSOLE_URL=https://subdomain.example.com/console
TTN_LW_IS_EMAIL_NETWORK_IDENTITY_SERVER_URL=https://subdomain.example.com/oauth


TTN_LW_IS_OAUTH_UI_CANONICAL_URL=https://subdomain.example.com/oauth
TTN_LW_IS_OAUTH_UI_IS_BASE_URL=https://subdomain.example.com/api/v3

TTN_LW_CONSOLE_OAUTH_AUTHORIZE_URL=https://subdomain.example.com/oauth/authorize
TTN_LW_CONSOLE_OAUTH_TOKEN_URL=https://subdomain.example.com/oauth/token

TTN_LW_CONSOLE_UI_CANONICAL_URL=https://subdomain.example.com/console
TTN_LW_CONSOLE_UI_AS_BASE_URL=https://subdomain.example.com/api/v3
TTN_LW_CONSOLE_UI_GS_BASE_URL=https://subdomain.example.com/api/v3
TTN_LW_CONSOLE_UI_IS_BASE_URL=https://subdomain.example.com/api/v3
TTN_LW_CONSOLE_UI_JS_BASE_URL=https://subdomain.example.com/api/v3
TTN_LW_CONSOLE_UI_NS_BASE_URL=https://subdomain.example.com/api/v3
TTN_LW_CONSOLE_UI_EDTC_BASE_URL=https://subdomain.example.com/api/v3
TTN_LW_CONSOLE_UI_QRG_BASE_URL=https://subdomain.example.com/api/v3

3) Теперь, если мы обновили сертификат, мы можем вернуться к первой конфигурации (порт 80/443, используемый apache, ttn использовать 1885/8885 для консоли) - и его успешно открыть консоль на https://subdomain.domain.com : 8885 /.

Что ты видишь сейчас?

Пожалуйста, вставьте вывод терминала, загрузите журналы (как .txt) или загрузите скриншоты.

...

Что вы хотите увидеть вместо этого?

Пожалуйста, добавьте несколько примеров или макетов, если применимо.

...

Среда

Ваша среда: ОС / Браузер / Шлюз / Устройство / ...? Версии? ID / EUI? Вставьте вывод «ttn-lw-cli version» или «ttn-lw-stack version», если применимо.

...

Как вы предлагаете это реализовать?

Есть ли способ настроить и ttn, и apache на одном компьютере?или force позволяет зашифровать, чтобы получить сертификат на другой порт?

Можете ли вы сделать это самостоятельно и отправить запрос на слияние?

Если вам нужна помощь, вы также можете использовать @mention экспертов.

...

documentation

Источник

ecities

Самый полезный комментарий

Когда вы запускаете The Things Stack за обратным прокси-сервером, вам придется полностью отключить TLS в конфигурации и сделать прокси ответственным за завершение всех TLS-соединений (не только HTTP, но также gRPC, MQTT и т. Д.). Я полагаю, мы могли бы задокументировать, как отключить всех прослушивателей TLS стека вещей и какие порты нужно сопоставить в обратном прокси.

Я думаю, мы можем ожидать, что люди, которые будут это делать, уже знают, как работает их прокси, поэтому я не думаю, что мы должны документировать, как это сделать конкретно с помощью apache / nginx / haproxy / envoy / etc.

htdvisser 19 дек. 2019

👍2

Все 5 Комментарий

htdvisser 19 дек. 2019

👍2

Привет @htdvisser , Спасибо за ответ.

Я тестировал на локальном компьютере с публичным / статическим IP-адресом (на основе lte) - я не знаю, какова структура сети.
Я также тестировал VPS (ovh.eu) непосредственно на стороне Интернета - по словам провайдера, он без прокси и брандмауэров (только некоторые DoS).

Оба варианта требуют одного и того же (инициализация сертификата на стандартный порт 80/443 для каждой клиентской / ip-станции).
Позже консоль можно было переключить на другие порты (1885/8885).

Есть еще одна проблема, связанная с VPS или любыми публичными / статическими IP- устройствами, независимо от структуры сети.

Некоторое время я смотрю на «экран журнала консоли» и вижу множество «испытаний хакерской активности», о которых сообщает стек TTN (и на экране мы видим только веб-атаки на стандартный порт http / htts). Домен / поддомен содержит только DNS-записи и не используется для веб-страницы, которую могут обнаружить роботы / поисковые системы. Я предполагаю, что роботы-хакеры ищут все статические IP4-адреса в поисках отвечающих устройств, и рано или поздно устройство будет найдено и атаковано хакерскими машинами. Таким образом, очень легко загрузить любой сервер массовыми атаками на известные порты http / https, даже если они на 100% защищены.

Я думаю, что очень разумно не использовать порты 80/443 для консоли / веб-интерфейса и иметь возможность изменить их для консоли стека TTN. Он предназначен для административных целей (не общедоступен), и администраторы знают об этих настройках.

Единственные вопросы:
План A) Как мы можем автоматически создавать / обновлять сертификаты acme / letsencrypt на разных портах?
План Б) Можно ли автоматизировать вышеописанную ручную процедуру, описанную здесь, по крайней мере, для нескольких известных хостов (например, статический IP) для администрирования?

ecities 19 дек. 2019

Спецификации для вызовов HTTP-01 и TLS-ALPN-01 ACME требуют использования порта 80/443. Вы не можете получить или обновить сертификаты с помощью этих задач, если вы используете другие порты.

Вы можете попробовать запросить сертификаты ACME с помощью задачи DNS-01 с помощью такого инструмента, как certbot (это выходит за рамки нашей документации) или у платного центра сертификации (также выходит за рамки нашей документации).

Когда у вас есть такие сертификаты, вы можете настроить The Things Stack в соответствии с инструкциями «Пользовательские сертификаты»: https://thethingsstack.io/v3.3.2/guides/getting-started/certificates/#custom -certificates и со следующей средой :

TTN_LW_TLS_SOURCE=file
TTN_LW_TLS_CERTIFICATE=/path/to/cert-chain.pem
TTN_LW_TLS_CERTIFICATE=/path/to/key.pem

htdvisser 19 дек. 2019

👍1

Я создал проблему https://github.com/TheThingsNetwork/lorawan-stack/issues/1760 для документирования того, как настроить стек вещей для работы за прокси-сервером, завершающим TLS.

Я создал проблему https://github.com/TheThingsNetwork/lorawan-stack/issues/1761 для документирования того, как настроить запрашиваемые извне сертификаты в стеке вещей.

htdvisser 19 дек. 2019

Благодарность

ecities 19 дек. 2019

Была ли эта страница полезной?

0 / 5 - 0 рейтинги