Certbot letsencrypt na innym porcie niż 443

12

Chcę skonfigurować certbota dla serwera WWW na innym porcie niż 443. Podczas działania otrzymałem następujący błąd

certbot --apache -d <sub>.<domain>.<ext>

Nieudana procedura autoryzacji. sub.domain.ext (tls-sni-01): urn: acme: error: connection :: Serwer nie mógł połączyć się z klientem w celu zweryfikowania domeny :: Nie udało się połączyć z ip_zewnętrznym: 443 dla TLS-SNI-01

Po tym błędzie przeczytałem strony man, gdzie znalazłem to:

--tls-sni-01-port TLS_SNI_01_PORT Numer portu do wykonania wyzwania tls-sni-01. Głaz w trybie testowym domyślnie to 5001. (domyślnie: 443)

Następnie próbowałem wykonać następujące czynności, aby naprawić ten błąd:

certbot --apache --tls-sni-01-port 14831 -d <sub>.<domain>.<ext>

Po dodaniu portu tls-sni-01 otrzymałem ten sam błąd.

Czy można zainstalować certyfikat z innym portem, czy robię coś źle?

CaptainJack
źródło
Czy możesz podać nam dokumentację dla certbota, która określa, jak używać „--tls-sni-01-port 14831”? Jeszcze go tam nie widziałem
Orphans
--tls-sni-01-port TLS_SNI_01_PORT Numer portu do wykonania wyzwania tls-sni-01. Boulder w trybie testowym domyślnie ustawiony jest na 5001. (domyślnie: 443)
CaptainJack
Próbowałeś --dvsni-port {PORT}?
Sieroty
Przeczytaj to, ale jeśli spróbuję certbot --apache --dvsni-port <port> -d <sub>. <domena>. <ext> mówi: certbot: błąd: nierozpoznane argumenty: --dvsni-port <port>
CaptainJack
1
SSL może być na dowolnym porcie, wystarczy podać numer portu
CaptainJack

Odpowiedzi:

10

Według: https://community.letsencrypt.org/t/how-to-specify-a-port-different-from-443-for-the-dvsni-challenge/12753/4

Nie jest to możliwe w przypadku certbota. Powinieneś spojrzeć na inną metodę implementacji tutaj: https://community.letsencrypt.org/t/list-of-client-implementations/2103

Sieroty
źródło
2
Często zadawane pytania dotyczące Certbots mówią inaczej? certbot.eff.org/faq/…
Douglas Gaskell,
@DouglasGaskell FAQ zmieniło się od czasu opublikowania tej odpowiedzi. Ale to tak naprawdę nie zmienia odpowiedzi. Nie ma możliwości wystawienia certyfikatu LE na innych portach niż 80 lub 443 zgodnie z FAQ
Orphans
Widzę. Warto jednak zauważyć, że można użyć rekordu TXT DNS zamiast z programem certbot. Zrobiłem to ostatniej nocy.
Douglas Gaskell,
Masz rację, możesz z przyjemnością edytować tę odpowiedź z tymi informacjami! @DouglasGaskell
Orphans
2

Wierzyłem, że tls-sniwciąż jest to możliwe, ale w oparciu o znaleziony incydent , letsencrypt radzi ludziom, aby nie używali ich tls-snido czasu przyszłego powiadomienia, na przykład nadchodząca tls-sni-03specyfikacja z wyzwaniami.

Michał
źródło
0

jeśli sprawa jest podobna do moich serwerów w witrynie, w której mam publiczne porty ip 80 i 443 przekazane do prywatnych portów ip 8080 i 8443, możesz to zrobić w ten sposób: certbot certonly --manual

który poprosi cię o udostępnienie skrótu w określonym adresie URL, co można łatwo osiągnąć, tworząc plik w katalogu głównym serwera WWW z żądaną zawartością, tj. http://twoja.site.com/178412ufhjakjkaslkasflalifalafllkdflkjf, a wyzwaniem jest adsjaskldlkajsdlkasdlakjsldjalskdasdada

więc tworzysz / var / www / html / 178412ufhjakjkaslkasflalifalafllkdflkjf, a jego zawartość powinna być adsjaskldlkajsdlkasdlakjsldjalskdasdada

mam nadzieję, że to pomoże

Fernando Chmielewsky
źródło