3x Serverar á sömu IP tölu sem þurfa SSL, hjálp

[nidur]

Daginn,

Ég er að keyra 3x linux servera á sömu IP tölu sem eru að hosta síður sem eiga að vera aðgengilegar að utan með HTTPS

Aðalvélin er með nokkrar heimasíður og letsencrypt fyrir SSL cert. á domain1.com og domain2.com sem virkar 100% með port 443

Ég er með valid cert fyrir sub.domain2.com á vél 2 en það er flaggað sem invalid væntanlega af því að það er á porti 4443 og fær html redirect frá vél 1 sem tekur við urlinu.

Og svo er ég með vél 3 sem er ekki enn komin með neitt cert.

Mig langaði að athuga hvort að einhver ykkar hafi sett upp eitthvað svipað og hvernig er best að gera það.

Ég er nokkuð viss um að það sé hægt að gera þetta, spurningin er bara hvernig.

Get ég ekki sett upp Virtual host í apache2 á vél 1 sem sendir alla traffík á visst subdomain yfir á næsta server sem getur svo sjálfur séð um að ná í SSL cert. fyrir sig og sitt subdomain. Eða þarf ég að gera þetta einhvern megin öðruvísi.

[hagur]

Venjan er held ég að vera með spes IP tölu per site, en smá googl segir mér að þetta sé hægt með SNI (Server Name Indication)

https://www.digicert.com/ssl-support/ap ... ng-sni.htm

[Hjaltiatla]

Hef ekki ennþá komið mér í þetta heima , en ég er að fara setja Web Application Proxy heima fyrir IIS DEV umhverfi.

Mér leist ágætlega á þennan guide hjá STH : https://forums.servethehome.com/index.p ... -proxy.16/

[nidur]

Ég er í raun að nota þetta sni á Server 1, hann er með multiple SSL cert. á sitthvorri síðunni á einum server. Skil það ekki öðruvísi allavega.

Ég er að reyna að setja upp proxypass á Server 1 til að flytja 443 request á sub.domain.com yfir á Server 2, er enn að reyna að finna úr því.

Annars er lausnin kannski að fara í routing/loadbalancing og senda þannig á milli servera.

[Hjaltiatla]

Ég er í raun að nota þetta sni á Server 1, hann er með multiple SSL cert. á sitthvorri síðunni á einum server. Skil það ekki öðruvísi allavega.

Ég er að reyna að setja upp proxypass á Server 1 til að flytja 443 request á sub.domain.com yfir á Server 2, er enn að reyna að finna úr því.

Annars er lausnin kannski að fara í routing/loadbalancing og senda þannig á milli servera.

Spurning hvort nginx reverse proxy henti í þessa uppsetningu. Virðist vera einhver umræða um það ef maður googlar "letsencrypt reverse proxy"

Þori ekki að fara með það.

[Kristján Gerhard]

Nota squid reverse proxy til að framkvæma þetta á pfsense. En er sennilega hægt með nginx og apache líka.

[nidur]

Smá meira info

Ég er búinn að fá port 80 til að virka í proxypass á þessa leiðina Non SSL

Kóði: Velja allt

<VirtualHost *:80>
    ServerName sub.domain.com
    ServerAlias http://www.sub.domain.com
    ProxyPreserveHost On
    ProxyPass / http://192.168.1.14/
    ProxyPassReverse / http://192.168.1.14/
</VirtualHost>

En þegar ég geri

Kóði: Velja allt

<VirtualHost *:443>
    ServerName sub.domain.com
    ServerAlias http://www.sub.domain.com
    ProxyPreserveHost On
    ProxyPass / https://192.168.1.14/
    ProxyPassReverse / https://192.168.1.14/
   SSLCertificateFile /etc/letsencrypt/live/www.sub.domain.com/fullchain.pem
   SSLCertificateKeyFile /etc/letsencrypt/live/www.sub.domain.com/privkey.pem
   Include /etc/letsencrypt/options-ssl-apache.conf
</VirtualHost>

Þá fæ ég "Internal Server Error"

Held að mig vanti eftirfarandi mod í gang sem komu ekki inn með apache2 "mod_ssl, mod_proxy, mod_rewrite"
eða að kóðinn er eitthvað vitlaus hjá mér.

[asgeirbjarnason]

Er ekki auðveldast að hafa alla traffík til og frá internetsins á einni vél, sem sér þá um öll SSL mál, og óencryptaða HTTP traffík milli þeirrar vélar og hinna vélanna, til að losna við alla cert hausverki á milli vélanna?

[Revenant]

Kóði: Velja allt

# Mikilvægt
NameVirtualHost *:443

<VirtualHost *:443>
 ServerName foo.domain.is
 SSLEngine on
 SSLCertificateFile /path/to/www_yoursite_com.crt
 SSLCertificateKeyFile /path/to/www_yoursite_com.key
 SSLCertificateChainFile /path/to/DigiCertCA.crt
 ProxyPreserveHost On
 ProxyPass / http://192.168.1.14/
 ProxyPassReverse / http://192.168.1.14/
 
</VirtualHost>

<VirtualHost *:443>
 ServerName bar.domain.is
 SSLEngine on
 SSLCertificateFile /path/to/www_yoursite2_com.crt
 SSLCertificateKeyFile /path/to/www_yoursite2_com.key
 SSLCertificateChainFile /path/to/DigiCertCA.crt
 
 ProxyPreserveHost On
 ProxyPass / http://192.168.1.99/
 ProxyPassReverse / http://192.168.1.99/
</VirtualHost>

Þetta virkjar SNI í apache og gerir https -> http offload á vélinni.
Ef þú vilt gera https -> https þá þarf að vera gilt skilríki á 192.168.1.14 (sem dæmi) vélinni eða þú þarft að disable-a cert check-ið.

[nidur]

Tengingin fer í gegn þegar ég set eftirfarandi inn í virtualhost

Kóði: Velja allt

SSLProxyEngine On
SSLProxyVerify none
SSLProxyCheckPeerCN off
SSLProxyCheckPeerName off
SSLProxyCheckPeerExpire off

Nú er bara að athuga hvort að ég geti ekki virkjað leyfið rétt og hætt að fá viðvörun.

Eða hvort að þetta sé eftirfarandi vandamál
"certificates common name did not match the server name"
Þá veit ég ekki hvar þessi nöfn eru definuð á server1 eða server2, og í virtualhost eða í einhverju configinu.

[kjartanbj]

Geturðu ekki fengið 2 aðrar ip tölur fyrir hinar vélarnar?

[nidur]

Geturðu ekki fengið 2 aðrar ip tölur fyrir hinar vélarnar?

Jú, en það kostar mig, þetta er bara "hobby" uppsetning, sakar ekki að kunna þetta.

[nidur]

# Mikilvægt
NameVirtualHost *:443
<VirtualHost *:443>

Ég er að reyna að skilja þetta NameVirtualHost og hvort að ég þurfi að skilgreina það einhverstaðar?

Ef þú vilt gera https -> https þá þarf að vera gilt skilríki á 192.168.1.14 (sem dæmi)

Ég er að reyna að gera gilt skilríki á 192.168.1.14 eftir að https tengingin er byrjuð að birtast en ég fæ bara meldingu frá letsencrypt.

Er ekki alveg viss um hvernig ég eigi að setja skilríkið upp á innri serverunum til að þetta komi allt rétt inn

[Hjaltiatla]

Alltaf gaman að því að fikta , kann mjög vel við að geta hent upp linux/freebsd vélum á Digital Ocean , maður getur hent upp vélum og er bara rukkaður fyrir þann tíma sem þær keyra (mjög ódýrt). t.d ef maður testar eitthvað í klukkutíma þá kostar það bara nokkur cent jafnvel.

Ertu búinn að uppfæra Freenas fileserverinn í Freenas Coral ?

[Revenant]

Þú getur ekki fengið gilt skilríki á private IP tölu (eða IP tölur almennt) með Let's encrypt.

Dæmi
DMZ-Host - tengur við internetið
Fyrir innan eru þessir serverar: Internal-Host-01, Internal-Host-02 og Internal-Host-03.
DNS sem vísar á public ip tölu DMZ-Host: subdomain1, subdomain2, subdomain3.

Á DMZ-Host request-aru skilríki fyrir subdomain1, subdomain2 og subdomain3 (annað hvort 3 mismunandi eða betra allt í sama skilríkinu) og stillir https og http-2-https redirection.

Þú þarft ekki að hafa https á Internal-Host vélunum en það er yfirleitt meira vesen því þá þarftu að byggja gilda skilríkjakeðju (eða hundsa hana)
Til að hafa þetta einfalt mæli ég með að nota http í ProxyPass/ProxyPassReverse skilgreiningunum (nema þú viljir endiega hafa end to end https)

Ég nota t.d. svona

Kóði: Velja allt

<VirtualHost *:443>
        ServerName subdomain1

        ErrorLog ${APACHE_LOG_DIR}/error.log
        CustomLog ${APACHE_LOG_DIR}/access.log combined

        SSLEngine on
        SSLCertificateFile      /etc/ssl/certs/cert.pem
        SSLCertificateKeyFile /etc/ssl/private/private.key
        SSLCertificateChainFile /etc/ssl/certs/chain.pem

        SSLProtocol             all -SSLv2 -SSLv3
        SSLCipherSuite          ECDHE-ECDSA-CHACHA20-POLY1305:ECDHE-RSA-CHACHA20-POLY1305:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES128-SHA256:ECDHE-RSA-AES128-SHA256:ECDHE-ECDSA-AES128-SHA:ECDHE-RSA-AES256-SHA384:ECDHE-RSA-AES128-SHA:ECDHE-ECDSA-AES256-SHA384:ECDHE-ECDSA-AES256-SHA:ECDHE-RSA-AES256-SHA:DHE-RSA-AES128-SHA256:DHE-RSA-AES128-SHA:DHE-RSA-AES256-SHA256:DHE-RSA-AES256-SHA:ECDHE-ECDSA-DES-CBC3-SHA:ECDHE-RSA-DES-CBC3-SHA:EDH-RSA-DES-CBC3-SHA:AES128-GCM-SHA256:AES256-GCM-SHA384:AES128-SHA256:AES256-SHA256:AES128-SHA:AES256-SHA:DES-CBC3-SHA:!DSS
        SSLHonorCipherOrder     on

        # Enable OCSP
        SSLUseStapling on
		
		ProxyPass / http://internal-host-01/
		ProxyPassReverse / http://internal-host-01/
</VirtualHost>

[asgeirbjarnason]

Ég er að reyna að gera gilt skilríki á 192.168.1.14 eftir að https tengingin er byrjuð að birtast en ég fæ bara meldingu frá letsencrypt.

Er ekki alveg viss um hvernig ég eigi að setja skilríkið upp á innri serverunum til að þetta komi allt rétt inn

Slepptu því. Hafðu bara venjulega óencryptaða HTTP traffík milli innri þjónana og reverse proxy þjónsins. Hafðu síðan alla HTTPS traffík og öll certificate á einum þjóni, sem er þá proxy fyrir hina tvo þjónana. Þá er traffíkin örugg milli netsins þíns og internetsins, sem er það sem skiptir mál. Traffíkin milli þjóna innanhús yrði ekki örugg, en það skiptir minna máli svo fremi að þú treystir netinu þínu.

Er í stuttu máli að segja „hlustaðu á Revenant.“

[Kristján Gerhard]

Ég er að reyna að gera gilt skilríki á 192.168.1.14 eftir að https tengingin er byrjuð að birtast en ég fæ bara meldingu frá letsencrypt.

Er ekki alveg viss um hvernig ég eigi að setja skilríkið upp á innri serverunum til að þetta komi allt rétt inn

Slepptu því. Hafðu bara venjulega óencryptaða HTTP traffík milli innri þjónana og reverse proxy þjónsins. Hafðu síðan alla HTTPS traffík og öll certificate á einum þjóni, sem er þá proxy fyrir hina tvo þjónana. Þá er traffíkin örugg milli netsins þíns og internetsins, sem er það sem skiptir mál. Traffíkin milli þjóna innanhús yrði ekki örugg, en það skiptir minna máli svo fremi að þú treystir netinu þínu.

Er í stuttu máli að segja „hlustaðu á Revenant.“

Sammála þessu, er með wildcard cert á pfsense og svo ýmist http eða https með self signed cert þar á milli.

[kjartanbj]

Geturðu ekki fengið 2 aðrar ip tölur fyrir hinar vélarnar?

Jú, en það kostar mig, þetta er bara "hobby" uppsetning, sakar ekki að kunna þetta.

hvar ertu með tengingu? ég er með möguleikan á 3 ip tölum hér heima án aukakostnaðar, eða það var það amsk, hef ekkert þurft meira en 1

[nidur]

Ertu búinn að uppfæra Freenas fileserverinn í Freenas Coral ?

Var ekki búinn að sjá að þetta væri komið inn fyrr en þú minntist á þetta.

Miðað við Freenas spjallið þá er fólk að lenda í vandræðum með að uppfæra, þannig að ég geri það líklega ekki.

En ég á pottþétt eftir að setja þetta upp í VM og sjá hvernig þetta virkar, nýja interfaceið er allavega mjög slick og hugsunin bakvið Jails/VM er soldið öðruvísi.

[Hjaltiatla]

Var ekki búinn að sjá að þetta væri komið inn fyrr en þú minntist á þetta.

Miðað við Freenas spjallið þá er fólk að lenda í vandræðum með að uppfæra, þannig að ég geri það líklega ekki.

En ég á pottþétt eftir að setja þetta upp í VM og sjá hvernig þetta virkar, nýja interfaceið er allavega mjög slick og hugsunin bakvið Jails/VM er soldið öðruvísi.

Já það er eitthvað um breytingar (eða vantar features og þess háttar) í Freenas Coral. Ég er allavegana búinn að biðja um feature request á bugs.freenas.org að bjóða uppá rollback snapshot í GUI (aftur) og benti á einn vanda í GUI varðandi SMB share. En ótruúlega flott og verður eflaust mun stabílla fljótlega.

[nidur]

Takk fyrir aðstoðina, Allir!

Ég ætla að taka pásu frá þessu í bili þar sem þetta er farið að virka, hendi svo upp cert. á aðalserverinn fyrir subdomainin og reyni að breyta þeim í http proxypass eða eitthvað annað skemmtilegt.

Btw ég er alger linux boob, og fyrir svoleiðis gæja er flott að vera með svona forum