certbot - LetsEncrypt - stappenplan - Serversoftware en clouddiensten

woensdag 28 oktober 2020 17:37

Acties:

0 Henk 'm!

EverLast2002

Topicstarter

Mijn vraag
kan iemand met kennis van zaken mij in simpele stappen uitleggen wat ik moet doen om mijn Zabbix server van een SSL certificaat te voorzien....?!

Relevante software en hardware die ik gebruik
CentOS7
apache2
Zabbix 5.x
xxx.duckdns.org (domeinnaam)
interne server met poort 80 en 443 open

Wat ik al gevonden of geprobeerd heb
https://certbot.eff.org/lets-encrypt/centosrhel7-apache

Mijn "probleem" is dat ik niet weet wat ik moet invullen als ze praten over "yourdomain".
Vul ik hier in xxx.duckdns.org of xxx.duckdns.org/zabbix ?
Want ik heb een certificaat met succes kunnen aanmaken maar dit blijkt niet mijn server naar HTTPS te hebben omgezet.
- mijn kennis van certificaten is minimaal.

woensdag 28 oktober 2020 17:45

Acties:

0 Henk 'm!

Hero of Time

Moderator LNX

There is only one Legend

Wat is een domein? En wat is x.duckdns.org/zabbix? Zijn die gelijk of anders en waarom?

We willen je best helpen, maar als je niet weet wat een domein is, is het eerder tijd om te beginnen met inlezen in de termen die gebruikt worden. Scheelt voor ons herhalen wat al miljoenen keren op het web staat uitgelegd.

Vraag voor jou: wat is de noodzaak om je Zabbix server interface voor de hele wereld beschikbaar te hebben?

Commandline FTW | Tweakt met mate

woensdag 28 oktober 2020 19:25

Acties:

0 Henk 'm!

EverLast2002

Topicstarter

Er zijn familieleden en kennissen die remote willen inloggen op de Zabbix server,
om eea aan data in te zien.
Het is dan mooier om HTTPS te hebben draaien ipv HTTP met de bijkomende veiligheidsmeldingen.

donderdag 29 oktober 2020 17:17

Acties:

0 Henk 'm!

Jazzy

Moderator SSC/PB

Moooooh!

Je kunt alleen een certificaat aanvragen met een domeinnaam waarvan jij de eigenaar bent. Aangezien jij niet de eigenaar van duckdns.org ben je helaas niet in de positie om daar een certificaat voor aan te vragen.

Alternatief is je eigen domein registreren, kost niet veel tegenwoordig. Dan daarmee dynamic DNS opzetten en vervolgens een certificaat aanvragen.

Exchange en Office 365 specialist. Mijn blog.

donderdag 29 oktober 2020 17:30

Acties:

+2 Henk 'm!

Ghostface9000

Lukt wel degelijk hoor met een duckdns hostname, gebruik zelf ook Letsencrypt + duckdns voor mijn cameraserver.

Je moet een account maken bij duckdns en bijvoorbeeld EverLast2002.duckdns.org registreren. Klik hiervoor op login op hun website.
Daarna kan je de Duckdns client draaien op je server, router of whatever.
https://www.duckdns.org/install.jsp
Als je een vast ip hebt heb je dit trouwens niet perse nodig.

Daarna kan je via letsencrypt een certificaat aanvragen voor deze ddns naam.
https://letsencrypt.org/docs/client-options/

Ik gebruik hiervoor https://certifytheweb.com/ makelijk+gui+iis maar er zijn meerdere opties.
Jij moet een client voor linux kiezen, certbot is inderdaad prima.
https://letsencrypt.org/docs/client-options/

Om het certificaat te vernieuwen moet je kunnen aantonen dat jij het effectief bent.
Hiervoor wordt de acme challenge gebruikt.
https://letsencrypt.org/docs/challenge-types/

Het makelijkste is HTTP-01 challenge maar dan moet je wel poort 80 open kunnen zetten om daar de token te zetten. Die certifytheweb of certbot tool automatiseert dit proces. Een certificaat is maar 3 maanden geldig.

[ Voor 8% gewijzigd door Ghostface9000 op 29-10-2020 19:14 ]

donderdag 29 oktober 2020 20:20

Acties:

0 Henk 'm!

Hero of Time

Moderator LNX

There is only one Legend

Jazzy schreef op donderdag 29 oktober 2020 @ 17:17:
Je kunt alleen een certificaat aanvragen met een domeinnaam waarvan jij de eigenaar bent. Aangezien jij niet de eigenaar van duckdns.org ben je helaas niet in de positie om daar een certificaat voor aan te vragen.

Dat is niet hoe LE werkt. Certbot wil wat verificatiebestanden in je docroot zetten zodat je webserver deze kan aanbieden voor LE om het certificaat uit te kunnen geven. Zolang LE die kan opvragen, krijg je een certificaat.

Het enige wat nodig is, is dat de hostnaam waarvoor je het certificaat aanvraagt verwijst naar de server die jij in beheer hebt en zodoende de benodigde bestanden voor het uitgeven van het certificaat kan serveren.

Stel dat Tweakers een dyndns dienst zou aanbieden op *.users.tweakers.net, dan kan jij een certificaat bij LE aanvragen voor jazzy.users.tweakers.net, als deze naar een IP adres wijst waar jij een server op beheert.

Commandline FTW | Tweakt met mate

donderdag 29 oktober 2020 20:42

Acties:

0 Henk 'm!

Jazzy

Moderator SSC/PB

Moooooh!

I stand corrected, bedankt @Ghostface9000 en @Hero of Time

Exchange en Office 365 specialist. Mijn blog.

vrijdag 30 oktober 2020 20:21

Acties:

0 Henk 'm!

EverLast2002

Topicstarter

Gelukt!
Na wat speurwerk in een httpd.conf file waar een 443 een * moest zijn, werkt HTTPS nu.

Dit heb ik gevolgd als stappenplan:

- bij duckdns.org een domein aangemaakt (ik heb er nog een domein draaien voor Nextcloud).

- https://sbcode.net/zabbix/config-ssl-cert/

- https://www.zabbix.com/do...quirements/best_practices
(in httpd.conf moet *.443 --> *.* zijn)

Bedankt allen voor het meedenken!
@Ghostface9000 : jouw stappenplan had ik zelf al gedaan maar de fout lag aan mijn kant.

vrijdag 30 oktober 2020 20:52

Acties:

0 Henk 'm!

Hero of Time

Moderator LNX

There is only one Legend

Je wilt helemaal geen *.* als listen hebben voor je virtualhost. Beter pas je dat weer terug aan en maak je een aparte voor puur en alleen Lets Encrypt. Je wilt immers dat je web verkeer voor Zabbix versleuteld is. Dan moet je 't niet mogelijk maken om alsnog zonder SSL te kunnen inloggen.

Commandline FTW | Tweakt met mate

vrijdag 30 oktober 2020 22:31

Acties:

0 Henk 'm!

DJMaze

EverLast2002 schreef op vrijdag 30 oktober 2020 @ 20:21:
Gelukt!

Gefeliciteert.
Zet nu je httpd.conf weer goed zoals wordt gezegd.
En lees je in hoe je over 2-3 maanden het certificaat vervangt.

Maak je niet druk, dat doet de compressor maar

zaterdag 31 oktober 2020 00:04

Acties:

0 Henk 'm!

EverLast2002

Topicstarter

Ik heb een redirect regel van HTTP naar HTTPS.
En poort 80 staat dicht in de firewall.
Die *.* is voor HSTS transport.

[ Voor 47% gewijzigd door EverLast2002 op 31-10-2020 10:17 ]

zaterdag 31 oktober 2020 13:27

Acties:

0 Henk 'm!

DJMaze

EverLast2002 schreef op zaterdag 31 oktober 2020 @ 00:04:
Die *.* is voor HSTS transport.

Header Strict-Transport-Security heeft niks met *.* te maken.
*.* zegt: elk IP en elke poort deze config gebruiken (ssl of niet).

Maak je niet druk, dat doet de compressor maar

zaterdag 31 oktober 2020 18:57

Acties:

0 Henk 'm!

EverLast2002

Topicstarter

Toen ik dit wijzigde van *.443 naar .*. werkte alles wel.

<VirtualHost *:443>
Header set Strict-Transport-Security "max-age=31536000"
</VirtualHost>

zaterdag 31 oktober 2020 19:27

Acties:

0 Henk 'm!

Turdie

Hero of Time schreef op donderdag 29 oktober 2020 @ 20:20:
[...]

Dat is niet hoe LE werkt. Certbot wil wat verificatiebestanden in je docroot zetten zodat je webserver deze kan aanbieden voor LE om het certificaat uit te kunnen geven. Zolang LE die kan opvragen, krijg je een certificaat.

Het enige wat nodig is, is dat de hostnaam waarvoor je het certificaat aanvraagt verwijst naar de server die jij in beheer hebt en zodoende de benodigde bestanden voor het uitgeven van het certificaat kan serveren.

Stel dat Tweakers een dyndns dienst zou aanbieden op *.users.tweakers.net, dan kan jij een certificaat bij LE aanvragen voor jazzy.users.tweakers.net, als deze naar een IP adres wijst waar jij een server op beheert.

Ja ze checken de DNS. Je zou ook kunnen kijkrn naar dehydrated letsencrypt, dan heb je gewoon een shell client op CentOS. Die kun je natuurlijk ook weer in een cronjob zetten zodat het certiicaat automatisch verlengt wordt.

[ Voor 13% gewijzigd door Turdie op 31-10-2020 19:32 ]

zaterdag 31 oktober 2020 21:45

Acties:

0 Henk 'm!

Turdie

EverLast2002 schreef op zaterdag 31 oktober 2020 @ 18:57:
Toen ik dit wijzigde van *.443 naar .*. werkte alles wel.

<VirtualHost *:443>
Header set Strict-Transport-Security "max-age=31536000"
</VirtualHost>

En dat is ook wel logisch te verklaren, want LE zet communicatie op poort 80 (HTTP) op naar je webserver, dus je zult een 80 en 443 block moeten hebben.

Alleen voor de aanvraag, renew heb je dat 80 block nodig.

code:

<VirtualHost *:80>
   Header set Strict-Transport-Security "max-age=31536000"
</VirtualHost>

<VirtualHost *:443>
   Header set Strict-Transport-Security "max-age=31536000"
</VirtualHost>

[ Voor 62% gewijzigd door Turdie op 31-10-2020 21:50 ]

zaterdag 31 oktober 2020 23:18

Acties:

0 Henk 'm!

EverLast2002

Topicstarter

Dus als ik het weer terugzet naar *.443 zou het nog steeds moeten werken?
Enkel met renew moet het *.* zijn begrijp ik.

zondag 1 november 2020 12:45

Acties:

+1 Henk 'm!

DataGhost

iPL dev

EverLast2002 schreef op zaterdag 31 oktober 2020 @ 23:18:
Dus als ik het weer terugzet naar *.443 zou het nog steeds moeten werken?
Enkel met renew moet het *.* zijn begrijp ik.

Je moet het zo opzetten dat je je configuratie niet hoeft te wijzigen om het certificaat te vernieuwen. Het vernieuwen zelf moet ook volautomatisch gaan. Tenminste, dat is de bedoeling.

[ Voor 10% gewijzigd door DataGhost op 01-11-2020 12:46 ]

certbot - LetsEncrypt - stappenplan

Vraag

Alle reacties