Alterando a porta que o letsencrypt tenta se conectar

Navegue suas respostas
1

Assim, um dos meus servidores está por trás do NAT, e como já existe um servidor apache publicamente acessível em minha LAN, decidi acessá-lo de fora com portas diferentes e remap-los para a porta padrão do apache Nesta nova máquina eu quero ter um certificado. Eu fiz isso com o encaminhamento de porta clássico através do meu roteador.

Agora, se eu quiser usar o comando letsencrypt no dito servidor, ele obviamente falhará porque ele tenta usar a porta padrão, que irá direcionar para a instalação do outro servidor do apache (que já tem um certificado letsencrypt).

Agora, acho que preciso de uma maneira de dizer ao letsencrypt para usar minha porta autodefinida, em vez da padrão, para conectar de fora, mas ainda não encontrei nada. É mesmo possível? Se for, como?

    
por Lollen Jumplan 18.01.2016 / 06:33

1 resposta

1

Não é possível usar porta não padrão, pois o servidor ACME em conformidade ainda tentará entrar em contato com os 80/443 padrão para os desafios http-01 / tls-sni-01.

Por exemplo, certbot tem opções separadas para ouvir portas não padrão, mas isso ainda não ajuda a superar o desafio: 

      certonly:
        Options for modifying how a cert is obtained

        --tls-sni-01-port TLS_SNI_01_PORT
                              Port used during tls-sni-01 challenge. This only
                              affects the port Certbot listens on. A conforming ACME
                              server will still attempt to connect on port 443.
                              (default: 443)
        --http-01-port HTTP01_PORT
                              Port used in the http-01 challenge.This only affects
                              the port Certbot listens on. A conforming ACME server
                              will still attempt to connect on port 80. (default:
                              80)

Provavelmente, no seu caso, a melhor maneira seria usar outro método de verificação - webroot. Neste caso, você não precisa que o seu 80 e 443 estejam disponíveis para o mundo externo, mas apenas um diretório específico (que pode ser configurado com proxy no lado do servidor web, eu assumo).

Detalhes estão disponíveis aqui

    
por 10.11.2016 / 22:33

Tags

Posso criar uma eth0 falsa mapeada para uma interface existente? Existe algum suporte geral a USB 3.0 no OpenWrt?