Puncte:0

Certificat TLS pentru porturi non-standard

drapel us

Avem un server (care ruleaza pe Ubuntu 20.04) accesibil dintr-un subdomeniu myserver.university.country, as dori sa instalez certificat SSL/TLS pe ​​server pentru a face conexiunile la server criptate. Este prima dată când administrez un server și când am întrebat (șeful, colegii de echipă) nimeni nu are expertiza pentru a ajuta.

Deservim în prezent unele site-uri web care necesită autentificare prin unele porturi non-standard (adică nu 80 sau 443, ceva de genul myserver.university.country:8687) care nu sunt deservite prin apache sau alt software de server major (folosim Server strălucitor). Browserele arată o conexiune nesigură fără blocare. Nu vrem ca datele de conectare să fie furate sau informațiile accesibile celor din afară.

Încercăm să folosim Let's encrypt prin certbot pentru a obține certificate pentru serverul nostru. Conform documentației certbot, acest lucru necesită deschiderea portului 80 (pe care nu vrem să fie accesibil).

Echipa de securitate nu dorește să deschidă portul 80 pentru întregul internet și dorește să restricționeze accesul la un anumit interval IP.În plus, vor să-l deschidă doar pentru o perioadă scurtă de timp, ceea ce am înțeles că ar împiedica reînnoirea automată a certificatelor. Cu toate acestea, certbot nu specifică un interval și ar putea folosi mai multe IP-uri.

Cum putem face conexiuni la serverul nostru sigure (cu resurse gratuite)?

Am ieșit din profunzime și nu știu cum să configurez corect serverul pentru asta și abordează preocupările IT.

drapel in
Dacă nu doriți să deschideți portul 80, singura opțiune pentru Let's Encrypt este să utilizați provocările DNS.
llrs avatar
drapel us
Oh, vreau să-l deschid și mă gândeam să-l redirecționez către 443, dar IT-ul este cel care nu vrea să-l deschidă. Care sunt provocările ADN-ului ([this](https://letsencrypt.org/docs/challenge-types/)?)? O modalitate diferită de a valida certificatul?
Puncte:2
drapel cn

Discutați cu IT din organizația dvs. Explicați că doriți certificate TLS de încredere pentru stiva dvs. de software. Furnizați Let's Encrypt ca sugestie, dar încercați orice altă procedură de emitere a PKI pe care o au.

Certificatele TLS (x509) nu au un număr de port. Ca aplicație de transport generică, TLS poate împacheta orice protocol pe orice port.

Cu toate acestea, un ACME http provocare pentru a obține un certificat trebuie să fie peste portul 80. Probabil pentru a confirma că aveți controlul asupra gazdei și pentru a simplifica implementarea utilizând portul bine-cunoscut.

Dacă portul 80 nu este o opțiune, există provocarea DNS. Veți avea nevoie de un script pentru a actualiza o înregistrare DNS cu valoarea de provocare.

Aveți posibilitatea de a alege clientul ACME și acesta poate fi scriptat pentru a se potrivi mediului dumneavoastră. Chiar și așa, nu trebuie să utilizați Let's Encrypt, iar organizația dvs. poate avea o modalitate diferită de a emite certificate.

llrs avatar
drapel us
Mulţumesc mult. Vom vorbi cu IT și vom explora alți clienți ACME.
Paul avatar
drapel cn
DNS-01 nu necesită niciun script special, doar acces pentru a schimba înregistrările DNS.

Postează un răspuns

Majoritatea oamenilor nu înțeleg că a pune multe întrebări deblochează învățarea și îmbunătățește legătura interpersonală. În studiile lui Alison, de exemplu, deși oamenii își puteau aminti cu exactitate câte întrebări au fost puse în conversațiile lor, ei nu au intuit legătura dintre întrebări și apreciere. În patru studii, în care participanții au fost implicați în conversații ei înșiși sau au citit transcrieri ale conversațiilor altora, oamenii au avut tendința să nu realizeze că întrebarea ar influența – sau ar fi influențat – nivelul de prietenie dintre conversatori.