Доступ извне c SSL. Apache? Letsencrypt?
-
Уважаемые Гуру, подскажите, плз, как организовать доступ к ioBroker'у извне?
(на машине уже есть Apache, зарезервирован виртуальный хост вида iobroker.<мой сайт>.com и настроено обновление ключей Letsencrypt)
или лучше использовать встроенный механизм шифрования Letsencrypt без Apache?
Вариант с апачевским проксированием я так понимаю подразумевает отказ от аутентификации ioBroker в пользу бейсик-авторизации Apache, но как тогда разделять пользователей?
Ну и про проброс портов в роутере хотелось бы услышать рекомендации…
Спасибо!
-
Я бы все же использовал стандартный способ через встроенный letsencrypte. Способ разделения пользователей, так же работает автоматическое продление сертификата. Проброс портов необходимо 80 для автоматического продления и любой который понравится на 8081 для доступа к админке.
-
..на 8081 для доступа к админке. `
а как быть с vis, который на 8082? -
..на 8081 для доступа к админке.
а как быть с vis, который на 8082?
Два порта пробросить? Или proxy драйвер использовать. -
..(на машине уже ..настроено обновление ключей Letsencrypt).. `
@spectrekr:Я бы все же использовал стандартный способ через встроенный letsencrypte… `
а эти два летсэнкрипт-бота уживутся ли вместе? запрос ключей на один и тот же домен ведь будет… -
Вопрос остается открытым. На сервере крутятся несколько сайтов (nextcloud, wordpress, freepbx, majordomo..). Letsencrypt настроен. Порты 80, 443 слушает Apache2. Также зарезервирован виртуальный хост под ioBroker (с настроенным обновлением Letsencrypt)
Можно ли использовать существующий сертификат Letsencrypt? где-нибудь прописать ссылку на него…
Можно ли не используя шифрование ioBroker (используя шифрование хоста Apache2) настроить разделение пользователей?
Нужно настроить SSL\TSL и разделение пользователей.
-
Можете тогда использовать существующий сертификат, в настройках админ драйвера укажите текущие сертификаты и пользуйтесь, единственно что обновлять сертификат в настройках придется вручную. А настройки letsencrypt в iobroekre отключить, чтоб не мешались.
-
Пока ограничился пробросом портов 8081-2 на роутере и сгенерил сертификат на 10 лет
хром грязно ругнулся, добавил сайт в исключение и теперь только красный значек вместо зеленого замочка мозолит глаза… -
Приключения продолжаются.
Android не хочет работать с самоподписанным сертификатом
Попробовал встроенный Letsencript. Сразу потерял доступ и к ioBroker и к хостам. Пришлось сделать iobroker set admin.0 –ssl false, остановить Apache, пробросить в роутере 80 и 443 на 8081, после чего смог попасть в морду ioBrokera и отключить Letsencript, и снова включить Apache.
Вообще не вариант!Letsencript'овский сертификат кстати создался через пару минут.
Было бы здорово просто иметь возможность указывать не сами ключи авторизации, а пути к уже существующим SSL сертификатам
-
Приключения продолжаются.
Android не хочет работать с самоподписанным сертификатом
Попробовал встроенный Letsencript. Сразу потерял доступ и к ioBroker к хостам. Пришлось сделать iobroker set admin.0 –ssl false, остановить Apache, пробросить в роутере 80 и 443 на 8081, после чего смог попасть в морду ioBrokera и отключить Letsencript, и снова включить Apache.
Вообще не вариант!Letsencript'овский сертификат кстати создался через пару минут.
Было бы здорово просто иметь возможность указывать не сами ключи авторизации, а пути к уже существующим SSL сертификатам `
Да это просят постоянно. Надо сделать. -
Можно ли это самому поправить и не ждать обновления драйвера?
-
Продолжение истории с сертификатами.
В модулях admin и vis (web) невозможно включить аутентификацию не включив шифрование. Однако тогда невозможно зайти локально https://localhost:8081(8082), браузер ругается, соответственно невозможно подключиться с Android'а. Letsencrypt на localhost сертификат естественно не выдает.
Что посоветуете?
-
Продолжение истории с сертификатами.
В модулях admin и vis (web) невозможно включить аутентификацию не включив шифрование. Однако тогда невозможно зайти локально https://localhost:8081(8082), браузер ругается, соответственно невозможно подключиться с Android'а. Letsencrypt на localhost сертификат естественно не выдает.
Что посоветуете? `
1. или самоподписанный сертификат2. или включить логин самому в объекте.
Просто используется basic authentication и там пароль передаётся не зашифрованным. А под ответственность пользователя можно. Я не хочу брать на себя эту ответственность
-
Пытаюсь настроить доступ через прокси апача как http://forum.iobroker.net/viewtopic.php?f=17&t=1227
все хорошо, только при включении аутентификации "страница /login/index.html не найдена"
Помогите, плз, правильно настроить редирект
-
Апну тему ибо актуально
-
Сейчас сделал так:
! <virtualhost :80="">ServerName iobroker.*********
! ServerAlias http://www.iobroker.**********
! Redirect permanent / https://iobroker./</virtualhost>
! <virtualhost :443="">ScriptAlias /cgi-bin/ /usr/lib/cgi-bin/
! <directory "/usr/lib/cgi-bin"="">AllowOverride None
! Options +ExecCGI -MultiViews +SymLinksIfOwnerMatch
! Order allow,deny
! Allow from all</directory>
! SSLEngine on
! SSLCertificateFile /etc/letsencrypt/live//fullchain.pem
! SSLCertificateKeyFile /etc/letsencrypt/live//privkey.pem
! SSLCACertificateFile /etc/letsencrypt/live//chain.pem
! SSLHonorCipherOrder on
! SSLCipherSuite ECDHE-ECDSA-CHACHA20-POLY1305:ECDHE-RSA-CHACHA20-POLY1305:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES128-SHA256:ECDHE-RSA-AES128-SHA256:ECDHE-ECDSA-AES128-SHA:ECDHE-RSA-AES256-SHA384:ECDHE-RSA-AES128-SHA:ECDHE-ECDSA-AES256-SHA384:ECDHE-ECDSA-AES256-SHA:ECDHE-RSA-AES256-SHA:DHE-RSA-AES128-SHA256:DHE-RSA-AES128-SHA:DHE-RSA-AES256-SHA256:DHE-RSA-AES256-SHA:ECDHE-ECDSA-DES-CBC3-SHA:ECDHE-RSA-DES-CBC3-SHA:EDH-RSA-DES-CBC3-SHA:AES128-GCM-SHA256:AES256-GCM-SHA384:AES128-SHA256:AES256-SHA256:AES128-SHA:AES256-SHA:DES-CBC3-SHA:!DSS
! SSLUseStapling on
! ServerAdmin webmaster@localhost
! ServerName iobroker.*********
! ServerAlias http://www.**********
! DocumentRoot /var/www/iobroker
! ProxyRequests Off
! ProxyPreserveHost On
! ProxyVia Full
! <proxy *="">Require all granted</proxy>
! <location>ProxyPass http://localhost:8081/
! ProxyPassReverse http://localhost:8081/</location></virtualhost>
покритикуйте/поправьте, плз, ибо хром пишет: "Подключение к сайту защищено не полностью"
