Trzepak.pl


Nowy temat  Odpowiedz w temacie
Autor Wiadomość
Post: wt, 05 cze 2018 12:00:39 
   Tytuł: SSL dla 192.168.0.1
Odpowiedz z cytatem
Offline
Powieściopisarz
Powieściopisarz

Rejestracja: wt, 17 lut 2009 1:37:06
Posty: 1797
Witajcie

Czy da się (i gdzie) wygenerować za darmo certyfikat tak dla LMSa na 192.168.0.1 tak, żeby Firefox wyświetlał zieloną kłódeczkę a iPhonenie wyświetlał komunikatu na cały ekran, że "To połączenie nie jest prywatne?"

Z góry dzięki za pomoc


Na górę
Post: wt, 05 cze 2018 12:49:45 
Odpowiedz z cytatem
Offline
Moderator
Moderator
Awatar użytkownika

Rejestracja: czw, 30 maja 2013 20:58:37
Posty: 2617
Lokalizacja: Wrocław
letsencrypt


Na górę
Post: wt, 05 cze 2018 13:52:20 
Odpowiedz z cytatem
Offline
Powieściopisarz
Powieściopisarz

Rejestracja: wt, 17 lut 2009 1:37:06
Posty: 1797
Niestety nie działa dla IP:
Kod:
certbot --authenticator webroot --installer apache
Saving debug log to /var/log/letsencrypt/letsencrypt.log
No names were found in your configuration files. Please enter in your domain
name(s) (comma and/or space separated)  (Enter 'c' to cancel):192.168.0.20

-------------------------------------------------------------------------------
One or more of the entered domain names was not valid:

192.168.0.20: Requested name 192.168.0.20 is an IP address. The Let's Encrypt
certificate authority will not issue certificates for a bare IP address.

Would you like to re-enter the names?
-------------------------------------------------------------------------------
(Y)es/(N)o:


Edit: Jakby co to sobie poraziłem bo stworzyłem subdomenę da tego IP ale problem wciąż pozostaje nierozwiązany (darmowe certyfikaty dla IP)


Na górę
Post: wt, 05 cze 2018 14:37:43 
Odpowiedz z cytatem
Offline
Administrator
Administrator
Awatar użytkownika

Rejestracja: pt, 28 paź 2005 0:39:53
Posty: 15797
Lokalizacja: Wrocław
a po co Ci na IP?

_________________
http://www.krt.net.pl - Internet Wrocław do domu
http://www.teleport.net.pl - Internet dla biznesu.


Na górę
Post: wt, 05 cze 2018 19:00:11 
Odpowiedz z cytatem
Offline
Subskrybent
Subskrybent

Rejestracja: pn, 13 lip 2015 20:13:35
Posty: 352
Nie zrobisz certyfikatu na IP, a z tego co się orientuję to Chrome od którejś wersji będzie je blokować.
Użyj nazwy domenowej

Wysłane z mojego Redmi Note 3 przy użyciu Tapatalka


Na górę
Post: śr, 06 cze 2018 0:37:39 
Odpowiedz z cytatem
Offline
Młodociany subskrybent
Młodociany subskrybent

Rejestracja: śr, 10 wrz 2014 9:18:06
Posty: 224
Lokalizacja: /dev/null
Certy na IP już nie działają - na niektórych nie wejdziesz na taką stronę (strona jest niebezpieczna), na inne wejdziesz jak poklikasz (j/w ale z możliwością - przejdź dalej), a niektóre jeszcze wejdą bez problemu - ale zielonej kłódeczki to chyba już nie uświadczysz... (no może na FF, ale nie sprawdzałem).


Na górę
Post: czw, 07 cze 2018 10:32:50 
Odpowiedz z cytatem
Online
Obserwator
Obserwator

Rejestracja: sob, 11 maja 2013 16:57:08
Posty: 25
cabana pisze:
letsencrypt


W jaki sposob generujecie certa z letsencrypt dla przykladowej domeny xyz.pl wskazujacej na np 192.168.0.1?

./letsencrypt-auto --apache -d xyz.pl

wywala:

Domain: xyz.pl
Type: unknownHost
Detail: No valid IP addresses found for xyz.pl

To fix these errors, please make sure that your domain name was
entered correctly and the DNS A/AAAA record(s) for that domain
contain(s) the right IP address.

Dns xyz.pl prawidlowo wskazuje 192.168.0.1 (googlowy tez zeby nie bylo ze tylko lokalnie rozwiazuje).

Chyba nie da sie przez letsencrypt dac certa dla niepublicznego ip?


Na górę
Post: czw, 07 cze 2018 11:41:31 
Odpowiedz z cytatem
Offline
Administrator
Administrator
Awatar użytkownika

Rejestracja: pt, 28 paź 2005 0:39:53
Posty: 15797
Lokalizacja: Wrocław
zmień na razie na publiczny jakikolwiek i sobie potem ip zmienisz.

_________________
http://www.krt.net.pl - Internet Wrocław do domu
http://www.teleport.net.pl - Internet dla biznesu.


Na górę
Post: czw, 07 cze 2018 12:20:42 
Odpowiedz z cytatem
Online
Obserwator
Obserwator

Rejestracja: sob, 11 maja 2013 16:57:08
Posty: 25
lukpiot pisze:
zmień na razie na publiczny jakikolwiek i sobie potem ip zmienisz.


Dzieki, sprobuje zaraz :)


Na górę
Post: czw, 07 cze 2018 16:40:51 
Odpowiedz z cytatem
Offline
Wyciszony literat
Wyciszony literat
Awatar użytkownika

Rejestracja: pn, 13 sie 2007 2:00:48
Posty: 940
Lokalizacja: Piastów
Let's Encrypt pozwana na weryfikację poprzez rekord TXT w DNSie

np
Kod:
certbot -d examle.local --manual --preferred-challenges dns certonly


w dnie dodajemy rekord TXT
Kod:
_acme-challenge.example.local.
o wartości podanej przez certbota

_________________
[img]http://www.trzepak.pl/userbar.png[/img]
[url=http://www.freeconet.pl?partnerId=130][img]http://images36.fotosik.pl/45/68e5616e729ea972.jpg[/img][/url]
[url=https://polecam.bankmillennium.pl/?id=178854]


Na górę
Post: pt, 08 cze 2018 7:42:35 
   Tytuł: SSL dla 192.168.0.1
Odpowiedz z cytatem
Online
Obserwator
Obserwator

Rejestracja: sob, 11 maja 2013 16:57:08
Posty: 25
Dzieki wielkie - czlowiek caly czas sie uczy Oczywiscie dziala Wlasnie pojawiaja sie kolejne klodeczki dla sprzetow/uslug wewnatrz sieci


Na górę
Post: sob, 30 cze 2018 6:02:18 
Odpowiedz z cytatem
Offline
Żółtodziób
Żółtodziób

Rejestracja: śr, 22 maja 2013 7:55:07
Posty: 22
Bardzo proszę kolegów o bardziej "łopatologiczny" opis jak zrobić certyfikat dla https - dla lokalnego serwera 192.168.0.1. Mam Ubuntu 16.04.4.
Z góry bardzo dziękuję za opis.


Na górę
Post: sob, 30 cze 2018 14:52:18 
Odpowiedz z cytatem
Offline
Moderator
Moderator
Awatar użytkownika

Rejestracja: czw, 30 maja 2013 20:58:37
Posty: 2617
Lokalizacja: Wrocław
Dla wew IP nie zrobisz, musisz wystawić to na świat na jakiejś domenie


Na górę
Post: sob, 30 cze 2018 18:08:59 
Odpowiedz z cytatem
Offline
Żółtodziób
Żółtodziób

Rejestracja: śr, 22 maja 2013 7:55:07
Posty: 22
Hmmm, koledzy powyżej piszą, że się da...


Na górę
Post: sob, 30 cze 2018 23:27:46 
Odpowiedz z cytatem
Online
Obserwator
Obserwator

Rejestracja: sob, 11 maja 2013 16:57:08
Posty: 25
Da sie bez zew ip; Wyzej macie przeciez info co zrobic.


Na górę
Post: ndz, 01 lip 2018 5:24:40 
Odpowiedz z cytatem
Offline
Moderator
Moderator
Awatar użytkownika

Rejestracja: czw, 18 lis 2010 9:00:53
Posty: 3418
Lokalizacja: Mazury
Wyżej nic takiego nie jest napisane. Nie da się uzyskać certyfikatu na adres IP który będzie akceptowany choćby przez przeglądarki.

Pierwsze przykładowe info wyrzucone w google. :)
Cytuj:
20-04-2015 13:09:42
W związku z wejściem w życie wytycznych CA/Browser Forum (CA/B) nie będzie możliwe już wystawienie certyfikatu SSL dla adresów IP oraz wewnętrznych nazw serwera (Server Internal Names), jeżeli jego ważność przekracza datę 1 listopada 2015.

Dyrektywa wskazuje również 1 października 2016 roku jako ostateczny termin unieważnienia wszystkich certyfikatów, które w opcji SAN (Subject Alternative Name) lub CN (Common Name) zawierają adres IP lub nazwę wewnętrzną.

Co to oznacza?
Jeśli administrujesz serwerem, używającym lokalnej nazwy lub adresu IP, musisz zmienić je na domeny publiczne (oparte na gTLD lub ccTLD) lub zmienić certyfikat na taki, którego data ważności spełnia powyższe założenia. Wszystkie połączenia wewnętrzne, które wymagają certyfikatu publicznego muszą być wykonane za pomocą nazw, które są weryfikowalne.
W związku z powyższym zalecamy zmianę obecnie stosowanych nazw, np. poprzez użycie subdomeny wcześniej zarejestrowanej nazwy np. serwer01.intranet.twojadomena.com.

Źródło: https://certyfikatyssl.pl/news/certyfik ... ow-ip.html

_________________
# http://kazuko.pl ☚☜☚☜


Na górę
Post: ndz, 01 lip 2018 14:47:42 
Odpowiedz z cytatem
Offline
Młodszy czytelnik
Młodszy czytelnik

Rejestracja: pn, 02 lut 2015 20:46:49
Posty: 89
@noyo

Mam stronę w domu na adresie 192.168.100.238. Hula tylko w sieci wewnętrznej ale na czas wygenerowania Let's Encrypt dałem jej dostęp do neta, nadałem normalną nazwę WWW i przekierowanie by działała z neta. Certyfikat się pobrał i działa.
Następnie tak DNS'a pokierowałem że odbija mi po WWW do adresu wewnętrznego a dostęp do neta uciąłem. Kłódeczka sobie działa :)


Na górę
Post: ndz, 01 lip 2018 15:25:49 
Odpowiedz z cytatem
Offline
Moderator
Moderator
Awatar użytkownika

Rejestracja: czw, 18 lis 2010 9:00:53
Posty: 3418
Lokalizacja: Mazury
Pudel pisze:
@noyo

Mam stronę w domu na adresie 192.168.100.238. Hula tylko w sieci wewnętrznej ale na czas wygenerowania Let's Encrypt dałem jej dostęp do neta, nadałem normalną nazwę WWW i przekierowanie by działała z neta. Certyfikat się pobrał i działa.
Następnie tak DNS'a pokierowałem że odbija mi po WWW do adresu wewnętrznego a dostęp do neta uciąłem. Kłódeczka sobie działa :)
A jak wyświetlasz stronę? po IP czy po domenie ?

_________________
# http://kazuko.pl ☚☜☚☜


Na górę
Post: ndz, 01 lip 2018 17:17:58 
Odpowiedz z cytatem
Offline
Młodszy czytelnik
Młodszy czytelnik

Rejestracja: pn, 02 lut 2015 20:46:49
Posty: 89
@Noyo
Po nazwie domenowej, która w DNSie jest zmodyfikowana tak by ta idiotyczna kłódeczka zawsze była zielona


Na górę
Post: ndz, 01 lip 2018 17:19:27 
Odpowiedz z cytatem
Offline
Moderator
Moderator
Awatar użytkownika

Rejestracja: czw, 18 lis 2010 9:00:53
Posty: 3418
Lokalizacja: Mazury
To tak to naturalnie, że się da. Ale jak wejdziesz na 192.168.0.1 to już będzie krzyczało że cert jest niezgodny.

_________________
# http://kazuko.pl ☚☜☚☜


Na górę
Post: czw, 05 lip 2018 2:39:29 
Odpowiedz z cytatem
Offline
Młodszy czytelnik
Młodszy czytelnik

Rejestracja: pn, 02 lut 2015 20:46:49
Posty: 89
Zgadza się ale skoro to wystawiasz w sieci wewnętrznej to da się tą kłódeczkę ogarnąć. Tym sposobem głupie logowanie do Synology mam zawsze w pełni bezpieczne.


Na górę
Post: czw, 05 lip 2018 15:15:57 
Odpowiedz z cytatem
Offline
Młodociany subskrybent
Młodociany subskrybent

Rejestracja: śr, 10 wrz 2014 9:18:06
Posty: 224
Lokalizacja: /dev/null
Tak, ale temat jest "SSL dla 192.168.0.1" a nie "SSL dla domeny pod 192.168.0.1"
;-)
...taki tam szczegół... jeden pies dla informatyka...


Na górę
Wyświetl posty nie starsze niż:  Sortuj wg  
Nowy temat  Odpowiedz w temacie


Kto jest online

Użytkownicy przeglądający to forum: Obecnie na forum nie ma żadnego zarejestrowanego użytkownika i 4 gości


Nie możesz tworzyć nowych tematów
Nie możesz odpowiadać w tematach
Nie możesz zmieniać swoich postów
Nie możesz usuwać swoich postów
Nie możesz dodawać załączników

Szukaj:
Przejdź do:  
Dzisiaj jest ndz, 23 wrz 2018 0:32:12

Strefa czasowa UTC+02:00

Moderatorzy: Administratorzy, Moderatorzy

Nakarm glodne dziecko - wejdz na strone www.Pajacyk.pl


Powered by phpBB © 2000, 2002, 2005, 2007 phpBB Group
SubSilver2 modified for Trzepak.pl by Colir
Polski pakiet językowy dostarcza phpBB.pl