Не будет ли ошибкой сразу указать 443 порт nginx вместо 80 для cetrbot?

Question

[bassoon48]

Ситуация следующая. 1 белый ip.

За reverse proxy находится 4 сервиса веб.

Мне надо добавить ещё один сервис на одном из существующих серверов nginx. Типа поддомен.

Если я оставлю 80 порт на новом сайте то его не будет видеть haproxy.

Я сменил на 443 чтоб haproxy по SNI мог его видеть.

И после этого смог получить сертификат от cetrbot.

Вопрос! Пофиг какой изначально был порт у nginx 80 или 443 или не пофиг?

Comments

[Ziptar]

Ну раз сертификат получен, значит пофиг?

[bassoon48]

Ziptar, как бы да но надо по уму делать чтоб понятно потом было.

Хоть это и пет проекты

[Lynn «Кофеман»]

Что-то тут всё смешалось в кучу и ничего непонятно

[bassoon48]

Lynn «Кофеман», а что не ясно? Не даунский вопрос от того и не понятно сразу это норма))

За обратным прокси несколько моих веб сервисов.

То есть по haproxy по SNI определяет какой где сайт.

Я добавил ещё сервис nginx на 80 порт (на один из серверов) Но cetrbot его не видит так как haproxy уже проксирует на 443.

Я поменял дефолт конфиг nginx с 80на 443.

После этого cert bot дал Мне сертификат так как haproxy смог спроксировать.

Вопрос можно ли заранее у nginx менять 80 порт на 443?

[Ziptar]

bassoon48, летсэкнкрипт требует подтверждение владения доменом, методы разные, сертбот подтверждает через создание файла на веб сервере, к которому домен привязан. В базовой ситуации сертификата у сайта нет, https не поднят, поэтому и 80-й порт. В дальнейшем при обновлении серта всё равно то же самое подтверждение делается уже с поднятым https, так что не имеет никакого значения вообще что у вас там в начале было.

[bassoon48]

Ziptar, да. Походу главное чтоб тупо сертификат прошёл и потом обновлялся

Answer 1

[d-stream]

А теперь представим себе ситуацию: что-то произошло и сертификаты просрочились. Запускается certbot, просит letsencrypt выдать новый серт, тот бежит на 443 порт... и ssl error - certificate invalid

Comments

[bassoon48]

Что произошло?

Сертификаты спокойно автоматически обновляются по щелчку пальца.

На каждом сервисе отдельно.

[bassoon48]

Это пет проект и прокси ещё тебя и меня переживёт.

Всё супер устойчиво

global
maxconn 4096
user haproxy
group haproxy
pidfile /var/run/haproxy.pid
log 127.0.0.1:514 local0 debug
daemon
ssl-default-bind-options no-sslv3 no-tls-tickets force-tlsv12
ssl-default-bind-ciphers ECDH+AESGCM:DH+AESGCM:ECDH+AES256:DH+AES256:ECDH+AES128:DH+AES:RSA+AESGCM:RSA+AES:!aNULL:!MD5:!DSS
tune.ssl.default-dh-param 2048

# Default SSL material locations
# ca-base /etc/ssl/certs
# crt-base /etc/ssl/private

# Default ciphers to use on SSL-enabled listening sockets.
# For more information, see ciphers(1SSL). This list is from:
# https://hynek.me/articles/hardening-your-web-serve...
# An alternative list with additional directives can be obtained from
# https://mozilla.github.io/server-side-tls/ssl-conf...
# ssl-default-bind-ciphers ECDH+AESGCM:DH+AESGCM:ECDH+AES256:DH+AES256:ECDH+AES128:DH+AES:RSA+AESGCM:RSA+AES:!aNULL:!MD5:!DSS
# ssl-default-bind-options no-sslv3

defaults
log global
mode tcp
option tcplog
option dontlognull
option tcp-smart-accept
option tcp-smart-connect
maxconn 2000
retries 3
timeout connect 5000
timeout check 3000
timeout client 50000
timeout server 50000

listen stats #Активируем статистику
bind 192.168.110.131:18080
mode http
maxconn 10
stats enable
stats enable
stats hide-version
stats scope .
stats realm Haproxy\ Statistics
stats auth adminge:keyj{jl11!
stats uri /stats

#Кастомные страницы HTTP_ERROR
# errorfile 400 /etc/haproxy/errors/400.http
# errorfile 403 /etc/haproxy/errors/403.http
# errorfile 408 /etc/haproxy/errors/408.http
# errorfile 500 /etc/haproxy/errors/500.http
# errorfile 502 /etc/haproxy/errors/502.http
# errorfile 503 /etc/haproxy/errors/503.http
# errorfile 504 /etc/haproxy/errors/504.http
errorfile 404 /etc/haproxy/errors/404.http
###################

frontend http #Перенаправляем трафик с 80 на 443 порт
bind 192.168.110.131:80
mode http
redirect scheme https code 301 if !{ ssl_fc }

global
maxconn 4096
user haproxy
group haproxy
pidfile /var/run/haproxy.pid
log 127.0.0.1:514 local0 debug
daemon
ssl-default-bind-options no-sslv3 no-tls-tickets force-tlsv12
ssl-default-bind-ciphers ECDH+AESGCM:DH+AESGCM:ECDH+AES256:DH+AES256:ECDH+AES128:DH+AES:RSA+AESGCM:RSA+AES:!aNULL:!MD5:!DSS
tune.ssl.default-dh-param 2048

# Default SSL material locations
# ca-base /etc/ssl/certs
# crt-base /etc/ssl/private

# Default ciphers to use on SSL-enabled listening sockets.
# For more information, see ciphers(1SSL). This list is from:
# https://hynek.me/articles/hardening-your-web-serve...
# An alternative list with additional directives can be obtained from
# https://mozilla.github.io/server-side-tls/ssl-conf...
# ssl-default-bind-ciphers ECDH+AESGCM:DH+AESGCM:ECDH+AES256:DH+AES256:ECDH+AES128:DH+AES:RSA+AESGCM:RSA+AES:!aNULL:!MD5:!DSS
# ssl-default-bind-options no-sslv3

defaults
log global
mode tcp
option tcplog
option dontlognull
option tcp-smart-accept
option tcp-smart-connect
maxconn 2000
retries 3
timeout connect 5000
timeout check 3000
timeout client 50000
timeout server 50000

listen stats #Активируем статистику
bind 192.168.110.131:18080
mode http
maxconn 10
stats enable
stats enable
stats hide-version
stats scope .
stats realm Haproxy\ Statistics
stats auth adminge:keyj{jl11!
stats uri /stats

#Кастомные страницы HTTP_ERROR
# errorfile 400 /etc/haproxy/errors/400.http
# errorfile 403 /etc/haproxy/errors/403.http
# errorfile 408 /etc/haproxy/errors/408.http
# errorfile 500 /etc/haproxy/errors/500.http
# errorfile 502 /etc/haproxy/errors/502.http
# errorfile 503 /etc/haproxy/errors/503.http
# errorfile 504 /etc/haproxy/errors/504.http
errorfile 404 /etc/haproxy/errors/404.http
###################

frontend https #На основании заголовка SNI будем направлять трафик
bind 192.168.110.131:443
mode tcp
tcp-request inspect-delay 5s
tcp-request content accept if { req_ssl_hello_type 1 }
use_backend mail if { req_ssl_sni -i mail.genreeds.ru }
use_backend mail if { req_ssl_sni -i mailbox.genreeds.ru }
use_backend site if { req_ssl_sni -i genreeds.ru }
use_backend site if { req_ssl_sni -i pma.genreeds.ru }

backend mail
mode tcp
option ssl-hello-chk
server mail 192.168.110.133:443 check

backend site
mode tcp
option ssl-hello-chk
server site 192.168.110.148:443 check

[bassoon48]

Да это мой пет-проект и чё)

Да да я, да могу.

PTR запись тоже кста есть.

Мучу интернет магазин (как хобби) для себя + почтовый сервак к нему.

Потом замучу Астерикс, Softether и ещё чегой-нить.

Может даже попробую парашу Альд Про.

[bassoon48]

Рулит всем Mikrotik RB5009UPr+S+in.

[Ziptar]

Ну сертбот не дятлы делали, и перевыпуск он инициирует до окончания срока действия сертификата.

bassoon48, астериск в качестве хобби... врагу не пожелаешь, имхо. Нет, прикольно поковырять по началу, но потом лишь бы настроить рабочую задачу, и глаза б его не видели. Инструмент хороший, мощный, но очень замороченный.

[bassoon48]

Ziptar, слушай. У меня перевыпуск вроде работает и так.

Я сравнил конфиги в nginx sites-enabled.

Тот конфиг где был по дефолту 80 порт, - certbot сам переписал на 443 порт.

Я же по сути лишь "помог" ему дописать ручками.

Значит по сути я правильно всё сделал.

По уму конeчно надо делать чтоб сертификатами рулил сам haproxy, но это надо заморачиваться делать шару куда будут скалдываться серты и иметь доступ haproxy и сервисы.

А это головняк. В продакшене даже не всегда так заморачиваются

[Ziptar]

bassoon48,
>Я же по сути лишь "помог" ему дописать ручками.
>Значит по сути я правильно всё сделал.
В общем и целом так и есть.

Answer 2

[SagePtr]

Смотря какой метод использовать для подтверждения.
https://letsencrypt.org/docs/challenge-types/
Если подтверждать методом HTTP-01, то нужен 80 порт обязательно.
Если методом DNS-01 - сервер вообще не нужен, но нужно настроить на NS-сервере, чтобы certbot мог с ним взаимодействовать и вносить записи, а также поискать для certbot плагин для работы с API вашего NS-сервера.
За метод TLS-ALPN-01 не скажу, не пробовал, да и многие веб-серверы его не поддерживают, поддерживает ли ваш - не в курсе.

Comments

[bassoon48]

Ты не понял. Я прекрасно знаю что по дефолту если получаешь сертификат на какой ли о веб сервис нужно обязательно открывать 80 и 443.

Тут ситуация конкретная - haproxy и резолв на внутренние сервисы через SNI

[bassoon48]

Я кстати проверил. Haproxy нормально резолвит и позволяет обновлять через cetrbot.

Прсгто придётся ручками дописать в nginx

[bassoon48]

Да и с методом dns в продакшене никто не будет заморачиваться.

На микросервисы деньги есть а на сертификат нет. Это беды с башкой будут