บรรจวบ เข้าสู่ระบบ
Score:0
llrs avatar Server

ใบรับรอง TLS สำหรับพอร์ตที่ไม่ได้มาตรฐาน

ธง us
llrs

เรามีเซิร์ฟเวอร์ (ทำงานบน Ubuntu 20.04) ที่เข้าถึงได้จากโดเมนย่อย myserver.university.country ฉันต้องการติดตั้งใบรับรอง SSL/TLS บนเซิร์ฟเวอร์เพื่อให้การเชื่อมต่อกับเซิร์ฟเวอร์เข้ารหัส นี่เป็นครั้งแรกที่ฉันจัดการเซิร์ฟเวอร์ และเมื่อฉันถามคนรอบข้าง (หัวหน้า เพื่อนร่วมทีม) ไม่มีใครมีความเชี่ยวชาญที่จะช่วยได้

ขณะนี้เราให้บริการบางเว็บไซต์ที่ต้องมีการเข้าสู่ระบบผ่านพอร์ตที่ไม่ได้มาตรฐาน (เช่น ไม่ใช่ 80 หรือ 443 เช่น myserver.university.country:8687) ไม่ได้ให้บริการผ่าน apache หรือซอฟต์แวร์เซิร์ฟเวอร์หลักอื่นๆ (เราใช้ เซิร์ฟเวอร์เงา). เบราว์เซอร์แสดงการเชื่อมต่อที่ไม่ปลอดภัยโดยไม่มีการล็อก เราไม่ต้องการให้ข้อมูลรับรองการเข้าสู่ระบบถูกขโมยหรือข้อมูลที่บุคคลภายนอกเข้าถึงได้

เรากำลังพยายามใช้ Let's encrypt ผ่าน certbot เพื่อรับใบรับรองสำหรับเซิร์ฟเวอร์ของเรา ตามเอกสารของ certbot สิ่งนี้จำเป็นต้องเปิดพอร์ต 80 (ซึ่งเราไม่ต้องการให้เข้าถึงได้)

ทีมรักษาความปลอดภัยไม่ต้องการเปิดพอร์ต 80 ให้กับอินเทอร์เน็ตทั้งหมด และต้องการจำกัดการเข้าถึงช่วง IP บางช่วงนอกจากนี้ พวกเขาต้องการเปิดเพียงช่วงเวลาสั้น ๆ ซึ่งความเข้าใจของฉันคือการป้องกันการต่ออายุใบรับรองโดยอัตโนมัติ อย่างไรก็ตาม cerbot ไม่ระบุช่วงและอาจใช้หลาย IP.

เราจะทำให้การเชื่อมต่อกับเซิร์ฟเวอร์ของเราปลอดภัยได้อย่างไร (ด้วยทรัพยากรฟรี)

ฉันไม่ลงลึกและไม่รู้วิธีกำหนดค่าเซิร์ฟเวอร์อย่างถูกต้องสำหรับสิ่งนี้ และ จัดการกับข้อกังวลด้านไอที

44
0 + 0
in flag
Gerald Schneider
หากคุณไม่ต้องการเปิดพอร์ต 80 ตัวเลือกเดียวของคุณสำหรับ Let's Encrypt คือใช้ความท้าทายของ DNS
0
ตอบกลับ
llrs avatar
us flag
llrs
โอ้ ฉันต้องการเปิดและกำลังพิจารณาจะเปลี่ยนเส้นทางไปที่ 443 แต่ฝ่าย IT ไม่ต้องการเปิด อะไรคือความท้าทายของ DNA ([สิ่งนี้](https://letsencrypt.org/docs/challenge-types/)?) วิธีอื่นในการตรวจสอบใบรับรอง ?
0
ตอบกลับ
Score:2
John Mahowald avatar Server
ธง cn
John Mahowald

พูดคุยกับฝ่ายไอทีในองค์กรของคุณ อธิบายว่าคุณต้องการใบรับรอง TLS ที่เชื่อถือได้โดยทั่วไปสำหรับชุดซอฟต์แวร์ของคุณ ให้ Let's Encrypt เป็นคำแนะนำ แต่ลองใช้ขั้นตอนการออก PKI อื่น ๆ ที่อาจมี

ใบรับรอง TLS (x509) ไม่มีหมายเลขพอร์ต ในฐานะที่เป็นแอปพลิเคชันการขนส่งทั่วไป TLS สามารถรวมโปรโตคอลใดก็ได้บนพอร์ตใดก็ได้

อย่างไรก็ตาม ACME http ความท้าทาย ในการรับใบรับรองจะต้องผ่านพอร์ต 80 สันนิษฐานว่าเพื่อยืนยันว่าคุณควบคุมโฮสต์ได้ และทำให้การใช้งานง่ายขึ้นโดยใช้พอร์ตที่รู้จักกันดี

หากพอร์ต 80 ไม่ใช่ตัวเลือก มีการท้าทาย DNS. คุณต้องมีสคริปต์เพื่ออัปเดตระเบียน DNS ด้วยค่าความท้าทาย

คุณมีไคลเอ็นต์ ACME ที่คุณเลือก และสามารถเขียนสคริปต์ให้เหมาะกับสภาพแวดล้อมของคุณได้ อย่างไรก็ตาม คุณไม่จำเป็นต้องใช้ Let's Encrypt และองค์กรของคุณอาจมีวิธีอื่นในการออกใบรับรอง

0 + 0
llrs avatar
us flag
llrs
ขอบคุณมาก. เราจะพูดคุยกับฝ่ายไอทีและสำรวจไคลเอนต์ ACME อื่นๆ
0
ตอบกลับ
Paul avatar
cn flag
Paul
DNS-01 ไม่ต้องการสคริปต์พิเศษใดๆ เพียงเข้าถึงเพื่อเปลี่ยนระเบียน DNS
0
ตอบกลับ
ธงชาติไทย
Kulap
คำถามนี้เป็นภาษาอื่นๆ:

โพสต์คำตอบ

คนส่วนใหญ่ไม่เข้าใจว่าการถามคำถามมากมายจะปลดล็อกการเรียนรู้และปรับปรุงความสัมพันธ์ระหว่างบุคคล ตัวอย่างเช่น ในการศึกษาของ Alison แม้ว่าผู้คนจะจำได้อย่างแม่นยำว่ามีคำถามกี่ข้อที่ถูกถามในการสนทนา แต่พวกเขาไม่เข้าใจความเชื่อมโยงระหว่างคำถามและความชอบ จากการศึกษาทั้ง 4 เรื่องที่ผู้เข้าร่วมมีส่วนร่วมในการสนทนาด้วยตนเองหรืออ่านบันทึกการสนทนาของผู้อื่น ผู้คนมักไม่ตระหนักว่าการถามคำถามจะมีอิทธิพลหรือมีอิทธิพลต่อระดับมิตรภาพระหว่างผู้สนทนา