Certbot memungkinkan enkripsi pada port yang berbeda dari 443

11

Saya ingin mengatur certbot untuk server web pada port yang berbeda dari 443. Saya mendapatkan kesalahan berikut saat menjalankan

certbot --apache -d <sub>.<domain>.<ext>

Prosedur otorisasi gagal. sub.domain.ext (tls-sni-01): urn: acme: error: koneksi :: Server tidak dapat terhubung ke klien untuk memverifikasi domain :: Gagal terhubung ke external_ip: 443 untuk tantangan TLS-SNI-01

Setelah kesalahan ini, saya telah membaca halaman manual, di mana saya menemukan ini:

--tls-sni-01-port TLS_SNI_01_PORT Nomor port untuk melakukan tantangan tls-sni-01. Boulder dalam mode pengujian default ke 5001. (default: 443)

Kemudian saya mencoba yang berikut ini untuk memperbaiki kesalahan ini:

certbot --apache --tls-sni-01-port 14831 -d <sub>.<domain>.<ext>

Setelah menambahkan tls-sni-01-port, saya mendapatkan kesalahan yang sama.

Apakah mungkin untuk menginstal sertifikat dengan port yang berbeda, atau apakah saya melakukan sesuatu yang salah?

apache-2.4 ssl-certificate lets-encrypt certbot KaptenJack
sumber
Bisakah Anda memberi kami dokumentasi untuk certbot yang menyatakan cara menggunakan "--tls-sni-01-port 14831"? Saya belum melihatnya di sana, namun
Anak Yatim
--tls-sni-01-port TLS_SNI_01_PORT Nomor port untuk melakukan tantangan tls-sni-01. Boulder dalam mode pengujian default ke 5001. (default: 443)
CaptainJack
Sudahkah Anda mencoba --dvsni-port {PORT}?
Anak yatim
Baca itu, tetapi jika saya mencoba certbot --apache --dvsni-port <port> -d <sub>. <domain>. <ext> dikatakan: certbot: error: argumen yang tidak dikenal: --dvsni-port <port>
KaptenJack
1
SSL dapat berada di port mana saja, Anda hanya perlu menentukan nomor port
CaptainJack

Jawaban:

10

Menurut: https://community.letsencrypt.org/t/how-to-specify-a-port-different-from-443-for-the-dvsni-challenge/12753/4

Ini tidak mungkin dengan certbot. Anda harus melihat pada metode implementasi lainnya di sini: https://community.letsencrypt.org/t/list-of-client-implementations/2103

Anak yatim
sumber
2
FAQ Certbots tampaknya mengatakan sebaliknya? certbot.eff.org/faq/…
Douglas Gaskell
@DouglasGaskell FAQ telah berubah sejak jawaban ini diposting. Tapi itu tidak mengubah jawaban sebenarnya. Tidak ada cara untuk mengeluarkan sertifikat LE pada port lain maka 80 atau 443 menurut FAQ
Anak Yatim
Saya melihat. Namun, ada baiknya untuk dicatat bahwa Anda dapat menggunakan catatan DNS TXT sebagai gantinya dengan certbot. Saya hanya melakukan ini tadi malam.
Douglas Gaskell
Anda benar, Anda dipersilakan mengedit jawaban ini dengan informasi itu! @DouglasGaskell
Orphans
2

Saya percaya itu tls-snimasih mungkin, tetapi berdasarkan insiden yang ditemukan, letsencrypt menyarankan orang untuk tidak menggunakan tls-snisampai pemberitahuan di masa depan, misalnya tls-sni-03spec yang akan datang dengan tantangan.

Michael
sumber
0

jika kasingnya mirip dengan server saya di sebuah situs, di mana saya memiliki port ip publik 80 dan 443 diteruskan ke port ip pribadi 8080 dan 8443, Anda dapat melakukannya dengan cara ini: certbot certonly - manual

yang akan meminta Anda untuk menyediakan hash dalam URL tertentu, mudah dilakukan dengan membuat file di direktori root webserver Anda dengan konten yang diminta, yaitu http://your.site.com/178412ufhjakjkaslkasflalifalafllkdflkjf dan tantangannya adalah adsjaskldlkajsdlkasdljjldjalskdasdada

sehingga Anda membuat / var / www / html / 178412ufhjakjkaslkasflalifalafllkdflkjf, dan isinya harus adsjaskldlkajsdlkasdlakjsldjalskdasdada

semoga membantu

Fernando Chmielewsky
sumber