Forum Debian Users Gang

Cyga · 2023-12-08 20:39:18

Cześć.

Potrzebuję na lokalnym serwerze www (debian + apache) wdrożyć certyfikat SSL w taki sposób aby był poprawnie interpretowany. Czy to w ogóle możliwe ?
Jest to niezbędne bo nie wiem czemu, ale na Androidzie nie działają pewne usługi WWW bez "poprawnego" certyfikatu. Na PC nie ma z tym problemu, a na telefonach du....a

Na te chwilę zrobiłem to tak, że skonfigurowałem na zewnątrz domenę ( mojadomane.pl ) wykupiłem dla niej SSL'a skonfigurowałem i wszystko hula. Więc przeniosłem wszystko na serwer wewnątrz sieci myśląc, że będzie OK. Serwer wewnątrz sieci też skonfigurowałem jako mojadomena.pl ale to nic nie daje przeglądarki i tak twierdzą, że certyfikat jest nie dla tej domeny. Wiem, że to prawda i nie wiem czego się spodziewałem .... ale czy nie ma sposobu aby to jakoś ogarnąć ?

Na około ale ogarnięte :-) Bind na VPN. Może ktoś ma lepszy pomysł???

Ostatnio edytowany przez Cyga (2023-12-08 22:18:39)

BiExi · 2023-12-10 19:43:47

Tak jest to możliwe do generowania lokalnego certyfikatu możesz użyjć mkcert

a tutaj masz przykładową instrukcje
https://github.com/FiloSottile/mkcert

Oczywiście ten certyfikat musisz dodać do lokalnego centrum jest to dobre rozwiązanie do lokalnego testowania.

Odnośnie publicznej domeny nie musisz kupować certyfikatu, możesz sobie go wygenerować np certbot'em

rulezdc · 2023-12-10 21:17:49

Możesz również używać:
cert-manager
stworzyć CA i certy openssl-em
Dodać CA do zaufanych w przeglądarce, systemie itp
Instrukcji w necie jest bardzo dużo.

Cyga · 2023-12-12 16:30:06

Dziękuje za sugestie ale obawiam się, że to by nie pykło, ponieważ

Rulezdc - użytkowników jest około 200 (3/4 mnie nie lubi) telefony zmieniają jak rękawiczki więc dodawanie do przeglądarki jako zaufane to abstrakcja.
BiExi - zaś to co proponujesz też raczej nie zda egzaminu bo użytkownicy mają również dostęp do WAN'u więc taki certyfikat nie zostanie przez chroma na androidzie potwierdzony jako zaufany.

niemniej dzięki za propozycje.

Jacekalex · 2023-12-12 17:53:06

Na 200 userów to sobie skołuj domenę za kilka złotych, wygeneruj certyfikat wildcard od Letsenrypta przy pomocy acme-sh, i tenże skrypt acme-sh przez crona może pilnować aktualności certyfikatu.

Do generowania acme potrzebuje dostępu do strefy DNS domeny,

Tu masz tutka do francuskiego OVH:
https://github.com/acmesh-official/acme.sh/wiki/How … VH-domain-api

Jest też wsparcie do kilkudziesięciu innych usług DNS.

Pozdro

Ostatnio edytowany przez Jacekalex (2023-12-12 17:57:44)

Cyga · 2023-12-16 18:40:40

Jacekalex - poszedłem właśnie tym tropem ;-)

Dzięki wszystkim za pomoc.

Jacekalex · 2023-12-17 02:59:26

Do crona zrobiłem sobie takie skrypta:

Kod:

### cat /etc/cron.daily/acmecron

Kod:

#!/bin/bash
echo $$ >> "/sys/fs/cgroup/net_cls/users/netout/tasks"

/usr/bin/openssl x509 -noout -in /etc/acme-sh/DOMENA.TLD_ecc/fullchain.cer -checkend 604800 &&  echo "OK: Certyfikat DOMENA.TLD nie wygasa w ciągu najbliższych 7 dni" || \
/etc/acme-sh/acme.sh --cron --home "/etc/acme-sh/" --server letsencrypt;

Działa lepiej od generowanego przez samego acme, bo najpierw sprawdza, ile zostało czasu do wygaśnięcia certyfikatu, aktualizacja się odbywa tylko, kiedy certyfikat wygasa za nie więcej niż 7 dni.
Przez to nie musi odpytywać serwera letsencrypt codziennie, tylko w miarę rzeczywistej potrzeby.

Pozdro

Forum Debian Users Gang

Ogłoszenie

#1 2023-12-08 20:39:18

Cyga - Użytkownik

Certyfikat SSL lokalnie

#2 2023-12-10 19:43:47

BiExi - matka przelozona

Re: Certyfikat SSL lokalnie

#3 2023-12-10 21:17:49

rulezdc - Członek DUG

Re: Certyfikat SSL lokalnie

#4 2023-12-12 16:30:06

Cyga - Użytkownik

Re: Certyfikat SSL lokalnie

#5 2023-12-12 17:53:06

Jacekalex - Podobno człowiek...;)

Re: Certyfikat SSL lokalnie

#6 2023-12-16 18:40:40

Cyga - Użytkownik

Re: Certyfikat SSL lokalnie

#7 2023-12-17 02:59:26

Jacekalex - Podobno człowiek...;)

Re: Certyfikat SSL lokalnie

Kod:

Kod:

Stopka forum