LetsEncrypt und andere Ports

  • Hallo Leute,


    ich stehe gerade auf dem Schlauch aber evtl. isses ja ganz easy:


    Ich nutze für einen gemeinnützigen Verein folgende Konfig:


    Fritzbox, Synology Diskstation, Strato Domain mit Strato DynDNS und nen Raspberry Pi 2 (aktuelles Raspbian Image), MySQL, NGINX, PHP 5.6


    Problem:
    Ich will LetsEncrypt (LE) auf dem Pi installieren, um später darauf eine kleine Webseite zu hosten.
    Nun habe ich gegoogelt, dass LE die Ports im Router auf 80 und 443 haben will, da scheinbar sonst die Zertis nicht erzeugt / upgedated werden können sollen.


    Die Synology Diskstation muss allerdings die beiden Ports nutzen und dort läuft sowohl LE (wird von der DS schon intern unterstützt) und alles ist fein.


    Aber:


    Der Pi soll ebenfalls LE nutzen aber das Port Forwarding von 80/443 geht ja nur auf 1 Gerät.


    Jetzt habe ich kein Problem damit, dass der Webserver vom Pi (NGINX) mit SSL auf einem anderen Port läuft aber wie realisiere ich das jetzt mit LE ??


    Hat das schon jemand gemacht (also LE mit anderen Ports) ??

    ;) Gruß Outi :D
    PIs: 2x Pi B (Rente) / 1x Pi B+ (Rente) / 1x Pi 2 B (Tests) / 2x Pi 3 B (RaspberryMatic / Repetier Server) / 2x Pi Zero 1.2 (B. Lite) / 2x Pi Zero 1.3 (B. Lite)
    2x Pi Zero W 1.1 (B. Lite) / 1x Pi Zero 2 (noch ohne) / 1x Pi 3 B+ (Tests) / 1x Pi 4 B 4GB (Ubuntu Server 64 Bit) / Pi 400 (Bullseye) / 2x Pi Pico
    Platinen: Sense HAT / RPI-RF-MOD / PiFi DAC+ V2.0 / TV HAT

  • Ist eine Weile her, aber die Antwort ist, wenn ich mich recht erinnere: Geht nicht.


    Der Zugriff von LE auf die Standardports wird allerdings nur zum Generieren (und Erneuern) der Zertifikate gebraucht. Ich sehe zwei Möglichkeiten:


    - DS und Pi sind ja von außen unter dem selben Hostnamen/der selben Domain erreichbar. Dann kannst Du doch ein Zertifikat für beide verwenden: Auf der DS erzeugen und dann auf den Pi kopieren.
    - Alternativ kannst Du natürlich kurzfristig zum Erzeugen der Zertifikate die Portweiterleitung auf den Pi um- und anschließend wieder zurückstellen. Da die Zertifikate m.W. eine recht kurze Lebensdauer haben, musst Du das dann allerdings regelmäßig wiederholen. Ich würde die erste Lösung vorziehen.

  • Du kannst die Diskstation auch als Reverse Proxy benutzen, das heißt, dass wenn du web.deinverein.de aufrufst, die DiskStation dir den Inhalt lokal vom Pi abholt. Um eine Subdomain zu benutzen, einen CNAME auf @ anlegen, damit diese unter der gleichen IP wie die Hauptdomain verfügbar ist.


    https://forum.synology.com/enu/viewtopic.php?t=19562
    Automatisch zusammengefügt:[hr]
    Dann kannst du einfach die Subdomain in LetsEncrypt hinzufügen und du brauchst keine unterschiedlichen Ports.

    Edited once, last by Phaurevu ().

  • Über den zusätzlichen CNAME auf die Sublevel geht das. Aber ich bin kein Freund von freien SSL Zertifikaten, egal aus welcher Quelle. Ich trau den Dingern nicht und je nachdem wo die beantragt wurden kostet es dich echt Geld wenn du zurückziehen willst und auf die CRL setzt. StartSSL ist z. Bsp. so ein Kandidat dem ich nicht traue.

  • Danke für die Tipps, werde ich mir näxtes Jahr mal anschauen .... ;):D


    Problem ist, dass die Diskstation und der Pi völlig unabhängig voneinander laufen müssen, sprich, wird das eine abgeklemmt, muss das andere ungehindert weiterlaufen.


    Wenns allerdings nicht anders geht, werde ich das mit dem RP mal probieren und die Idee mit dem weiter verwendeten Zertifikat ist auch sehr interessant.


    Danke und nen guten Rutsch.

    ;) Gruß Outi :D
    PIs: 2x Pi B (Rente) / 1x Pi B+ (Rente) / 1x Pi 2 B (Tests) / 2x Pi 3 B (RaspberryMatic / Repetier Server) / 2x Pi Zero 1.2 (B. Lite) / 2x Pi Zero 1.3 (B. Lite)
    2x Pi Zero W 1.1 (B. Lite) / 1x Pi Zero 2 (noch ohne) / 1x Pi 3 B+ (Tests) / 1x Pi 4 B 4GB (Ubuntu Server 64 Bit) / Pi 400 (Bullseye) / 2x Pi Pico
    Platinen: Sense HAT / RPI-RF-MOD / PiFi DAC+ V2.0 / TV HAT


  • Du kannst auch beide unabhängig laufen lassen.


    Du greifst ja auf den Pi z.B. mit pi.DeineDomain.de auf Port 8080 http und Port 8443 https zu.
    Jetzt brauchst Du aber 80 und/oder 443 für LE. Hat ja schon jemand erwähnt das die DS da einiges für anbietet, damit das klappt.
    Du musst aber auch nur der Software auf der DS sagen das /.well-known z.B. per Proxy_pass auf Deine PI Büchse geschickt werden soll.


    cya

  • Le benötigt das doch nur alle drei Monate grob einmal? Also sollte es doch immer Mal ein kurzes Wartungsfenster geben?

  • Weil der Aufwand geringer ist?
    Vllt will er auch weniger Ports freigeben oder scheut sich Ports umzustellen.
    Ist nur eine Alternative ;)

    Edited once, last by Sirel ().

  • Ist es aufwändiger, sich im Kalender alle 3 Monate (und dann auf die Stunde genau) einen Termin einzutragen, wo man die Aktualisierung der Zertifikate vornimmt, oder sich einmal ne halbe Stunde hinzusetzen, WebRoot Authentication einzurichten und das Script per Cronjob monatlich aufzurufen-und das läuft dann autonom?


  • Ist es aufwändiger, sich im Kalender alle 3 Monate (und dann auf die Stunde genau) einen Termin einzutragen, wo man die Aktualisierung der Zertifikate vornimmt, oder sich einmal ne halbe Stunde hinzusetzen, WebRoot Authentication einzurichten und das Script per Cronjob monatlich aufzurufen-und das läuft dann autonom?


    Ja es ist aufwändiger. Weil wenn man es richtig macht muss man an nichts denken und es passiert alles automatisch.


    Wenn man es dann ganz richtig macht muss man nicht mal das SSL auf dem eigentlichen Webserver betreiben. Kann es auf mehreren PI/Servern betreiben. So Umzüge und Migration der Seiten auf andere Backends machen ohne an das Letsencrypt Zeug und SSL denken. Bei mir sind mittlerweile keine Certs mehr auf den Webservern wo die Seiten selbst laufen. Und dann auch noch Letsencrypt komplett heraus getrennt so das bei einem Angriff auf die Webserver nicht alle Certs und Letsencrypt Daten abhanden kommen könnten.
    Läuft sogar in einem komplett anderen Netz im Hintergrund.

  • Da man bei der F!B die Port beliebig verbiegen kann, ist doch nur konsequent, der DS zwei andere Port nach außen zu geben.


    Also greift man für die über die externen Port 8080 und 8443 zu, die von der F!b auf die internen Port 80 und 443 der DS umgebogen werden.
    Damit ist die (für die DS) DS über ihre 'echten' Ports erreichbar, und den PI kann man auf dem Port 443 und laufen lassen,um ihn automatisch und selbständig die LetsEncrypt-Zertifikate erneuern.
    Da beide über unterschiedliche "Adressen" erreichbar sind, ist sowohl der PI als auch die DS unabhängig voneinander betreibbar. Nur die F!B muss laufen.

    Selber denken,
    wie kann man nur?