ווטסאפ - לינוקס, BSD, קוד פתוח ותוכנה חופשית בעברית. Whatsup - Linux, BSD, open source and free software in Hebrew

 
 
  כניסת חברים · רישום · שכחתי סיסמה  
tux the penguin
תגובה לנושא
צפיה בנושא הבא Printable version התחבר כדי לבדוק הודעות פרטיות צפיה בנושא הקודם
אורח · ·
 

הודעה פורסם: 06/03/2018 - 12:08
נושא ההודעה: התקנת SSL על שרת ביתי?

התקנתי שרת ביתי (nginx+drupal) על raspberry pi 3 עם מערכת raspbian. הכל עובד יפה וכעת רוצה לפתוח אותו כלפי 'big bad Internet'... Smile לכן אני רוצה להתקין SSL ועקבתי אחר המדריך הזה: https://www.digitalocean.com/community/tutorials/how-to-secure-nginx-on-ubuntu-14-04
בצעתי עד לפקודה הבאה שאומנם לקחה הרבה זמן...
קוד:
sudo openssl dhparam -out /etc/nginx/ssl/dhparam.pem 4096

ועדכנתי את הקינפוג של nginx כפי שמצוין שם - כרגע ניסיתי לפתוח את פורט 443 עבור HTTPS וזה לא עובד; גלישה רגילה בפורט 80 עם HTTP כן עובדת. אציין שכרגע אני מבצע את הקישור לפורטים עם כתובת האינטרנט החיצונית ולא עם שם דומיין - יתכן וזה חשוב ל SSL? מעבר לכך רציתי לדעת האם בכדי לאפשר את הגלישה עם HTTPS צריך גם להמשיך לפי המדריך הבא Lets Encrypt והאם לא היה צורך בפקודה לעיל עם 4096 וניתן היה לבצע רק לפי Lets Encrypt?
https://pimylifeup.com/raspberry-pi-ssl-lets-encrypt/
 
   
תגובה  עם ציטוט חזרה למעלה
חזרה לתוכן הדיון
חתוללא בפורום כעת ת.הצטרפות: 03/11/2007 · הודעות: 1034 ·
 

הודעה פורסם: 06/03/2018 - 12:52
נושא ההודעה:

נסה לבדוק בלוגים של nginx מה הבעיה.
אתה לא יכול להשתמש ב־lets encrypt כי הוא דורש שיהיה לך דומיין מוגדר בשרת.
 
 צפיה בפרופיל המשתמש שלח הודעה פרטית ביקור באתר המפרסם  
תגובה  עם ציטוט חזרה למעלה
חזרה לתוכן הדיון
אורח · ·
 

הודעה פורסם: 06/03/2018 - 13:39
נושא ההודעה:

אה ...
אולי כי השרת לא מאזין ל 443 SSL ? בהמשך המדריך (מהנקודה אשר עצרת) כתוב לך כיצד לעשות זאת.
ובכל מקרה תצטרך תעודת CA (למשל של lets enc) על מנת שבראוזרים לא יתלוננו על האתר שלך -
קוד:
Later on, you would probably wish to remove the SSL warning and make the SSL test a clean "A". One option is to use Let's Encrypt as described in the article How To Secure Nginx with Let's Encrypt on Ubuntu 14.04. It is free, allows you to specify an RSA key size up to 4096, and doesn't give a warning about being self-signed. Otherwise, you can choose any of commercial SSL providers out there. When you choose one just make sure that you opt for a SHA256 certificate.
 
   
תגובה  עם ציטוט חזרה למעלה
חזרה לתוכן הדיון
צפריראורח · ·
 

הודעה פורסם: 06/03/2018 - 13:53
נושא ההודעה:

אם פורט 80 (לפחות זמנית) ופורט 443 פתוחים לאינטרנט, חפש הוראות לשימוש בסרטיפיקט של Let's Encrypt. החיים הרבה יותר פשוטים איתו. התהליך הפך להיות הרבה יותר אוטומטי.

אם פורט 443 לא חשוף החוצה, תהיה לך בעיה ליצור סרטיפיקט אמין. הפתרון הפשוט ביותר הוא self-signed certificate וללמד את מי שצריך להאמין לו. האם זה המצב?
 
   
תגובה  עם ציטוט חזרה למעלה
חזרה לתוכן הדיון
אורח · ·
 

הודעה פורסם: 06/03/2018 - 14:36
נושא ההודעה:

ציטוט:
נסה לבדוק בלוגים של nginx מה הבעיה.
אתה לא יכול להשתמש ב־lets encrypt כי הוא דורש שיהיה לך דומיין מוגדר בשרת.

מוזר אבל בלוג /var/log/nginx/access.log אין שום הערה לגבי HTTPS, רק לגבי HTTP - מה זה אומר שאפילו לא מגיע לשלב הזה?
ציטוט:
אולי כי השרת לא מאזין ל 443 SSL ? בהמשך המדריך (מהנקודה אשר עצרת) כתוב לך כיצד לעשות זאת.
ובכל מקרה תצטרך תעודת CA (למשל של lets enc) על מנת שבראוזרים לא יתלוננו על האתר שלך
אכן המשכתי במדריך והוספתי את הקטע הבא לקובץ /etc/nginx/conf.d/default.conf בצמוד להגדרה של HTTP רגיל:
קוד:
server {
  listen 80;
  listen [::]:80;
  server_name 192.168.1.4;
  root /usr/share/nginx/html/;
  index index.php index.html index.htm index.nginx-debian.html;

   ### SSL Part
        listen 443 ssl;
        ssl_protocols TLSv1 TLSv1.1 TLSv1.2;
        ssl_ciphers 'EECDH+AESGCM:EDH+AESGCM:AES256+EECDH:AES256+EDH';
        ssl_prefer_server_ciphers on;
        ssl_dhparam /etc/nginx/ssl/dhparam.pem;
        ssl_certificate /etc/nginx/ssl/nginx.crt;
        ssl_certificate_key /etc/nginx/ssl/nginx.key;

יתכן שמשהו כאן לא מוגדר נכון - התוספת הזו של האזנה ל 443 אפילו מונעת את הגישה הרגילה דרך פורט 80...
ציטוט:
אם פורט 80 (לפחות זמנית) ופורט 443 פתוחים לאינטרנט, חפש הוראות לשימוש בסרטיפיקט של Let's Encrypt. החיים הרבה יותר פשוטים איתו. התהליך הפך להיות הרבה יותר אוטומטי.
אם פורט 443 לא חשוף החוצה, תהיה לך בעיה ליצור סרטיפיקט אמין. הפתרון הפשוט ביותר הוא self-signed certificate וללמד את מי שצריך להאמין לו. האם זה המצב?
כרגע פורט 80 ו 443 פתוחים לאיטנרנט אבל עדיין אין לי דומיין - אנסה לארגן אותו בהקדם דרך noip או משהו דומה ואז להתקין עם Let's Encrypt. לא הבנתי מה הכוונה ש 443 לא חשוף החוצה - בצעתי בראוטר פורוורד עם כתובת IP חיצונית ללא דומיין.

בכלל יש לי שאלה עקרונית: בכדי לקבל SSL האם ניתן להשתמש רק עם lets encrypt וכמובן עם דומיין, או שבכל מקרה השלב שבצעתי עם הפקודה שמסתימת ב 4096 היה הכרחי? יש לי כאן אי הבנה ואשמח להסבר - האם חייבים את שני השלבים או שמדובר בשני סוגי פתרונות וכרגע הפתרון הראשון לא עובד? ויתכן שעם Let's Encrypt הפתרון יותר קל כפי שנאמר כאן

תודה
 
   
תגובה  עם ציטוט חזרה למעלה
חזרה לתוכן הדיון
אורח · ·
 

הודעה פורסם: 06/03/2018 - 16:50
נושא ההודעה:

רק לחדד שכל הענין הזה של SSL נועד לאבטחה של מי שמתחבר אליך. זה לא תורם דבר וחצי דבר לאבטחת השרת שלך (מפני פריצות וכיוב').

אם המשתמשים צפוים להעביר או לקבל איזשהו מידע אישי (שם משתמש, ססמה, כתובת מייל וכיוב') מומלץ מאוד (שוב, עבור המשתמשים שלך) להשתמש ב-SSL. אם כל המידע סטטי, או כל המידע שמתקבל ונמסר הוא ציבורי וכללי - חבל על המאמץ.
SSL לא תורם שום אלמנט של אבטחת אפליקצית האתר/שרת מפני פריצה או גישה לא מורשית.
 
   
תגובה  עם ציטוט חזרה למעלה
חזרה לתוכן הדיון
אורח · ·
 

הודעה פורסם: 06/03/2018 - 21:10
נושא ההודעה:

ציטוט:
רק לחדד שכל הענין הזה של SSL

חידדת יפה - יש מצב לרישום ומידע אישי ונראה שזה לא אמור להכביד על השרת אז זה מתאים במקרה שלי. מעבר לכך נעזרתי קצת בכל מיני טיפים ברשת לאבטחת האתר, אבל אני מעונין לדעת יותר בנושא ובמיוחד בהרשאות של התיקיות השונות, בקינפוג nginx וכו' - לינקים ומידע בנושא יתקבלו בברכה
תודה
 
   
תגובה  עם ציטוט חזרה למעלה
חזרה לתוכן הדיון
צפריראורח · ·
 

הודעה פורסם: 07/03/2018 - 00:04
נושא ההודעה:

Anonymous :
רק לחדד שכל הענין הזה של SSL נועד לאבטחה של מי שמתחבר אליך. זה לא תורם דבר וחצי דבר לאבטחת השרת שלך (מפני פריצות וכיוב').

אם המשתמשים צפוים להעביר או לקבל איזשהו מידע אישי (שם משתמש, ססמה, כתובת מייל וכיוב') מומלץ מאוד (שוב, עבור המשתמשים שלך) להשתמש ב-SSL. אם כל המידע סטטי, או כל המידע שמתקבל ונמסר הוא ציבורי וכללי - חבל על המאמץ.
SSL לא תורם שום אלמנט של אבטחת אפליקצית האתר/שרת מפני פריצה או גישה לא מורשית.


לא לגמרי נכון: הוא מונע (או ליתר דיוק: מקשה בהרבה) התחזות לשרת.
 
   
תגובה  עם ציטוט חזרה למעלה
חזרה לתוכן הדיון
אורח · ·
 

הודעה פורסם: 07/03/2018 - 09:13
נושא ההודעה:

במקביל להשמשת SSL אני מנסה לברר איזה שירות DDNS מאפשר גלישה עם SSL חינמי -
נראה ש noip דורש תשלום... מישהו מכיר שירות שנותן את זה חינם? ובכלל - מניסיון שלכם יש העדפה לשירות DDNS מסוים?
 
   
תגובה  עם ציטוט חזרה למעלה
חזרה לתוכן הדיון
אורח · ·
 

הודעה פורסם: 07/03/2018 - 10:37
נושא ההודעה:

אתה צריך לגשת עם שם דומיין ל SSL. הסרטיפקציה כוללת את שם המתחם. זה גם כתוב בדרישות קדם במדריך שהבאת וכנראה לא ממש קראת.

קוד:

A registered domain or subdomain pointed to the Droplet's IP. You will need this to test the SSL settings. For more information read this article on How to Point to DigitalOcean Nameservers From Common Domain Registrars.
 
   
תגובה  עם ציטוט חזרה למעלה
חזרה לתוכן הדיון
צפריראורח · ·
 

הודעה פורסם: 07/03/2018 - 16:16
נושא ההודעה:

[quote="Anonymous"]
ציטוט:

בכלל יש לי שאלה עקרונית: בכדי לקבל SSL האם ניתן להשתמש רק עם lets encrypt וכמובן עם דומיין, או שבכל מקרה השלב שבצעתי עם הפקודה שמסתימת ב 4096 היה הכרחי? יש לי כאן אי הבנה ואשמח להסבר - האם חייבים את שני השלבים או שמדובר בשני סוגי פתרונות וכרגע הפתרון הראשון לא עובד? ויתכן שעם Let's Encrypt הפתרון יותר קל כפי שנאמר כאן
תודה

מדובר על שני שלבים שונים:

אם תסתכל על SSH, תראה שלשרת יש מפתח פרטי (ומפתח ציבורי מתאים. ליתר דיוק: בכל התקנה סבירה מחבילות נוצרים כמה מפתחות מכמה סוגים. אבל בעיקרון נדרש אחד), ‎/etc/ssh/ssh_host_*_key .

כאשר אתה מתחבר לשרת ב־SSH, אתה אמור להכיר אותו (לפי שמו, או כתובת ה־IP שלו). המפתח הציבורי שלו אמור להופיע בקובץ ‏‎$HOME/.ssh/known_hosts לפי שמו ו/או כתובת ה־IP שלו (ליתר דיוק: כמעט תמיד: לפי גיבוב של השם או הכתובת, כדי שהקובץ הזה לא יצליח לשמש מילון לתוקפים שהצליחו להשתלט על החשבון שלך). ואז כשאתה מתחבר מחדש לאותו מחשב, אתה יכול לבדוק שהוא מחזיק במפתח הפרטי שמתאים לאותו מפתח ציבורי.

איך להביא את התוכן לקובץ לפני הפעם הראשונה שאתה מתחבר למחשב? יש כל מיני טכניקות משוכללות, ובפועל רוב האנשים לא משתמשים בהן ומאשרים את הוספת המפתח. זה יותר טוב מכלום: זה יקשה על התחזות בפעמים הבאות.

גם במקרה של SSL יש לשרת זוג מפתחות והוא מפרסם את המפתח הציבורי בכל התחברות אליו. אבל שם יש משהו יותר משוכלל: הוא מפרסם שם גם את פרטי האישור שמישהו נתן לו. המישהו הזה נקרא Certification Authority (רשות מאשרת).

אפשר בעיקרון להרים תוכנה כזו על אותו שרת או בשרת אחר ברשת. זה נקרא לרוב self-signed certificate. לפעמים קוראים לו גם בכינוי הגנאי snake-oil (כי מדובר על רמאות: המצאת רשות מאשרת). זה שקול לדרך הפשוטה של כתיבת yes להוספת מפתח לקובץ known_hosts ב־SSH.

לחלופין אתה יכול לשלוח בקשה רשות מאשרת שתחתום על המפתח הציבורי שלך. הרשות אמורה לבדוק את פרטי הבקשה, לוודא את נכונותה, ואם היא השתכנעה בנכונותה ואם היא מעוניינת בכך, לשלוח לך אישור. במקור היה כאן תהליך ידני שבו הרשות המאשרת בדקה את הפרטים שלך (צילום של תעודת זהות, אישור פרטי חברה, וכל מיני דברים דומים) וגם תשלום לרשות המאשרת.

Let's Encrypt שינו את כל התהליך. הם יצרו תהליך אוטומטי שהוציא את המשתמש מהתמונה ודרש רק הוכחה (אוטומטית) של בעלות על שם מתחם (הם מבקשים ממך לשים תוכן אקראי במקום מבוקש באתר). בנוסף לכך הם חוזרים על התהליך פעם בכמה חודשים (לכל היותר: פעם בשלושה חודשים). לכן אתה לא מודע לתהליך של יצירת המפתח ויצירת בקשת החתימה. זה פשוט קורה מאליו.
 
   
תגובה  עם ציטוט חזרה למעלה
חזרה לתוכן הדיון
אורח · ·
 

הודעה פורסם: 07/03/2018 - 22:07
נושא ההודעה:

צפריר, ההסבר שלך היה במקום ועשה לי קצת סדר בנושא SSL - תודה רבה!
האנלוגיה ל SSH (שאני משתמש בו לצורך תקשורת בין ה PC ל PI) עוזרת להבנה
אז מה שכרגע אני מבין זה שביצוע השלב הראשון של חישוב המפתח, שכנראה נעשתה עם אלגוריתם די מורכב (4096), ולכן לקחה הרבה זמן (כמה שעות), עקב כח החישוב המוגבל של PI, לא היתה לחינם ואני אשתמש במפתח הזה בשלב הבא של Let's Encrypt. לצורך כך אני צריך דומיין וכאן אני קצת מתלבט על איזו אפשרות לבחור - ראשית אני מבין שהשירות צריך לכלול DDNS מכיוון שכתובת IP שלי אינה קבועה (למרות שהיא לא משתנה יותר מדי). שנית - מצד אחד יש את השירותים החינמים כמו noip - ראיתי שחלקם מציעים שירות SSL בתשלום, ואני מניח שהכוונה לשירות למי שלא ביצע את התהליך עם Let's Encrypt, ואז הם מציעים SSL שלהם בתשלום - כלומר אם בצעתי את התהליך עם Let's Encrypt אז אין בעיה לקבל שירות חינמי - נכון? מצד שני ראיתי שכיום ניתן לרכוש דומיין במחיר די נמוך לדוגמא: אתר GoDaddy מציע מחיר נמוך לשנה - לא מכיר אותו אבל נראה שזה אתר די גדול ומקווה שאמין... היתרון במקרה הזה שרכישת הדומיין מונעת מאחרים להשתמש בו, ובנוסף - יתכן שהאתרים החינמים דוחפים פרסומות.. בכל מקרה אם יש למישהו נסיון עם אתר חינמי טוב או אתר בתשלום סביר אז אני מעונין לשמוע
 
   
תגובה  עם ציטוט חזרה למעלה
חזרה לתוכן הדיון
חתוללא בפורום כעת ת.הצטרפות: 03/11/2007 · הודעות: 1034 ·
 

הודעה פורסם: 08/03/2018 - 19:11
נושא ההודעה:

גם אם יהיה לך דומיין זה לא תחליף לשירות כמו no-ip. כל עוד אין לך כתובת IP קבועה אתה צריך דרך לעדכן את ההפניה של הדומיין לכתובת שלך.

אגב, אפשר לקבל דומיין עם סיומת tk בחינם.
http://dot.tk/
 
 צפיה בפרופיל המשתמש שלח הודעה פרטית ביקור באתר המפרסם  
תגובה  עם ציטוט חזרה למעלה
חזרה לתוכן הדיון
אורח · ·
 

הודעה פורסם: 08/03/2018 - 19:42
נושא ההודעה:

Anonymous :
אני מבין זה שביצוע השלב הראשון של חישוב המפתח, שכנראה נעשתה עם אלגוריתם די מורכב (4096), ולכן לקחה הרבה זמן (כמה שעות), עקב כח החישוב המוגבל של PI,

כוח החישוב שלו אינו עד כדי כך מוגבל. אם זה עיכוב כזה, ככל הנראה שלא מדובר על כוח חישוב מוגבל אלא על מחסור בביטים אקראיים. תצטרך ליצור בהמשך מספרים אקראיים באמת.

מילת המפתח לחיפושים כאן היא „אנטרופיה״. אנטרופיה היא מדד לחוסר סדר. לליבה יש רכיב שמנסה ללקט ביטים אקראיים ממקורות שונים, ולהכניס אותם למאגר אחד (שבו יתערבבו, כדי להגדיל את הביטחון). מאגר זה הוא ה־entropy pool. כמות הביטים במאגר הנוכחי:
קוד:

$ cat /proc/sys/kernel/random/entropy_avail
3730

ה־Raspberry Pi כולל רכיב על הלוח שיוצר ביטים אקראיים (Hardware Random Number Generator - HRNG). לפחות במערכת שאני משתמש (שאינה מערכת ראספביאן) יש בו תמיכה.
 
   
תגובה  עם ציטוט חזרה למעלה
חזרה לתוכן הדיון
אורח · ·
 

הודעה פורסם: 08/03/2018 - 22:13
נושא ההודעה:

אח, אנטרופיה.. העלת נשכחות ממושג תרמודינמי מעורפל שגדל כל הזמן - הייתי מצמיד אליו את חשבון הבנק שלי Wink
ציטוט:

כוח החישוב שלו אינו עד כדי כך מוגבל. אם זה עיכוב כזה, ככל הנראה שלא מדובר על כוח חישוב מוגבל אלא על מחסור בביטים אקראיים. תצטרך ליצור בהמשך מספרים אקראיים באמת.

במדריך שציינתי לעיל כתוב שהחישוב אמור לקחת עד חצי שעה והנחתי שהכוונה למחשב שולחני יחסית חזק. אצלי ב PI3 זה לקח כשעתיים וחצי. עבור מה אצטרך מספרים אקראים בהמשך? חשבתי שפעם אחת מיצרים מפתח וזיהו, אבל מדבריך מבין שיש צורך בשוטף עבור הצפנת SSL? גם ל SSH? (דרך אגב: את המפתח ל SSH יצרתי במחשב רגיל והעברתי ל PI). כרגע מאגר הביטים אצלי:
קוד:
cat /proc/sys/kernel/random/entropy_avail
3412

ראיתי בקישור הבא איך להפעיל את HRNG במערכת raspbian עבור PI3:
http://vk5tu.livejournal.com/43059.html
ובצעתי את הפקודות הבאות:
קוד:
$ echo bcm2835_rng | sudo tee /etc/modules-load.d/rng-tools.conf
$ sudo modprobe bcm2835_rng
$ sudo apt-get install rng-tools
$ echo 'HRNGDEVICE=/dev/hwrng' | sudo tee --append /etc/default/rng-tools
$ sudo systemctl enable rng-tools
$ sudo systemctl start rng-tools
$ sudo systemctl status -l rng-tools

מקווה שזה יועיל. כדאי להריץ שוב את הפקודה לחישוב המפתח ל SSL?
עם איזו מערכת אתה משתמש? סהכ דביאן נראית מערכת נוחה ויציבה ומקווה שתמשיך כך.
ציטוט:
גם אם יהיה לך דומיין זה לא תחליף לשירות כמו no-ip. כל עוד אין לך כתובת IP קבועה אתה צריך דרך לעדכן את ההפניה של הדומיין לכתובת שלך.

הבנתי שדרוש לי DDNS עקב הדינמיות של IP, אבל חשבתי שאם רוכשים דומיין אז מקבלים איתו שירות DDNS ומסתבר שרק חשבתי... האם שירות כמו no-ip בחינם הוא סביר ולא משגע עם פרסומות וכו או שיש שירותי חינמי כזה יותר נוח? לא בא לי לשלם גם על זה. כרגע אני נוטה לרכוש דומיין ולא לקבל חינם, כי המחיר לא כל כך יקר ובכדי לתפוס את השם ושיהיה נורמלי עם סיומת com, אבל טרם החלטתי.
תודה
 
   
תגובה  עם ציטוט חזרה למעלה
חזרה לתוכן הדיון
ILANSלא בפורום כעת ת.הצטרפות: 12/10/2003 · הודעות: 347 ·
 

הודעה פורסם: 09/03/2018 - 18:58
נושא ההודעה:

Anonymous :
במקביל להשמשת SSL אני מנסה לברר איזה שירות DDNS מאפשר גלישה עם SSL חינמי -
נראה ש noip דורש תשלום... מישהו מכיר שירות שנותן את זה חינם? ובכלל - מניסיון שלכם יש העדפה לשירות DDNS מסוים?


אני משתמש באתר שלי ב- duckdns ועד עכשיו מרוצה: ilsh.duckdns.org

_________________
http://ilsh.duckdns.org
 
 צפיה בפרופיל המשתמש שלח הודעה פרטית ביקור באתר המפרסם מספר ICQ 
תגובה  עם ציטוט חזרה למעלה
חזרה לתוכן הדיון
אורח · ·
 

הודעה פורסם: 27/03/2018 - 10:53
נושא ההודעה:

המשכתי בהתקנת האתר והוא עובד דרך noip על פורט 80 http. כאמור מדובר ב PI3 עם רספביאן עם nginx. כרגע אני רוצה להתקין SSL עם LET's Encrypt - עבדתי לפי המדריך הבא:
https://pimylifeup.com/raspberry-pi-ssl-lets-encrypt/
הגעתי לסעיף 8 ולא יודע האם ללכת לפי 8a או 8b - האם לבחור ב standalone או ב web root? לא יודע מה זה אומר ומה יותר מתאים ל setup שלי? או שיש לכם מדריך יותר מתאים. בהמשך ההתקנה אני מניח שיהיה שימוש במפתח שכבר יצרתי עם הפקודה הבאה:
קוד:
sudo openssl dhparam -out /etc/nginx/ssl/dhparam.pem 4096
 
   
תגובה  עם ציטוט חזרה למעלה
חזרה לתוכן הדיון
צפריראורח · ·
 

הודעה פורסם: 28/03/2018 - 06:58
נושא ההודעה:

שני המקרים הללו הם למקרה שאתה לא מריץ אפאצ'י על פורט 80 ו־443.

ולא, לא אמור להיות שימוש למפתח שכבר יצרת. נוצר מפתח חדש אוטומטית פעם בשלושה חודשים.
 
   
תגובה  עם ציטוט חזרה למעלה
חזרה לתוכן הדיון
אורחאורח · ·
 

הודעה פורסם: 28/03/2018 - 06:59
נושא ההודעה: הייתי הולך על standalone

במצב של standalone המערכת לא תלויה בשרת שלך ומחוללת עצמאית את הסרטיפיקייט. אח"כ התקן את הסרטיפיקייט עצמאית לשרת שלך לפי הדוקומנטציה של השרת (ב-nginx אמור להיות די פשוט).
שים לב כי כפי שכתבו פה, חייב להיות לך דומיין "פתוח לעולם". אני לא משוכנע שדומיינים של no-ip ייחשבו ע"י letsEncrypt לדומיינים מעשיים (production) ויש סיכוי שהוא יידחה לך את זה אבל בכל מקרה שווה לנסות ולו רק כי no-ip הם חינמיים.
כמו כן שים לב כי הסרטיפיקייט ש-lentsencrypt מחוללים הם ל-90 יום. יש לחזור על תהליך ע"י חידוש עם פקודת letsencrypt renew.

בהצלחה!

Anonymous :
המשכתי בהתקנת האתר והוא עובד דרך noip על פורט 80 http. כאמור מדובר ב PI3 עם רספביאן עם nginx. כרגע אני רוצה להתקין SSL עם LET's Encrypt - עבדתי לפי המדריך הבא:
https://pimylifeup.com/raspberry-pi-ssl-lets-encrypt/
הגעתי לסעיף 8 ולא יודע האם ללכת לפי 8a או 8b - האם לבחור ב standalone או ב web root? לא יודע מה זה אומר ומה יותר מתאים ל setup שלי? או שיש לכם מדריך יותר מתאים. בהמשך ההתקנה אני מניח שיהיה שימוש במפתח שכבר יצרתי עם הפקודה הבאה:
קוד:
sudo openssl dhparam -out /etc/nginx/ssl/dhparam.pem 4096
 
   
תגובה  עם ציטוט חזרה למעלה
חזרה לתוכן הדיון
אורח · ·
 

הודעה פורסם: 28/03/2018 - 09:44
נושא ההודעה:

אז אם הבנתי אתכם נכון צריך לבצע את השלבים הבאים - אני בוחר במצב standalone וכבר התקנתי את:
קוד:
sudo apt-get install certbot

דרך אגב: האם בכדי שיתבצע חידוש אוטומטי כל 90 יום צריך להתקין -t stretch-backports
או שהפקודה לעיל כבר כוללת את זה? לפי המדריך שצרפתי יש התקנה נפרדת של -t jessie-backports עבור גרסת jessie דביאן, אבל היא לא מופיעה עבור stretch. או שניתן לחדש אישור עם cron כפי שמופיע במדריך הבא? https://certbot.eff.org/lets-encrypt/debianstretch-nginx.html
אני מבין שעבור חידוש צריך להפסיק את nginx ולאחר להפעיל שוב, אז לא ברור איך זה נעשה..

בכל מקרה השלב הבא הוא הפסקת nginx והתקנת:
קוד:
certbot certonly --standalone -d example.com -d www.example.com

ואחר כך שינוי הקונפיגורציה של nginx לפי המשך המדריך.

הבנתי שהמפתח שכבר יצרתי הוא נועד למקרה של self-signed certificate וזה לא המקרה כאן.

תודה
 
   
תגובה  עם ציטוט חזרה למעלה
חזרה לתוכן הדיון
אורח · ·
 

הודעה פורסם: 28/03/2018 - 16:59
נושא ההודעה:

בינתים התקנתי עם הפקודה של standalone אבל כנראה שהיתה בעיה לקבל אישור, בגלל שבפקודה מופיע www לפני שם האתר, ובאתרים של noip אין. לכן הכנסתי את הפקודה ללא www והאישור התקבל. עדכנתי את הקונפיג של nginx והפעלתי אותו מחדש, אבל ברירת המחדל היתה http ורק אם הוספתי לשם האתר https קבלתי אתר מאובטח. לכן הוספתי שורה לקונפיג nginx (החלפתי host בשם האתר):
קוד:
return 301 https://$host$request_uri;

ועכשיו זה עובד רק נותר להתקין חידוש אוטומטי?
 
   
תגובה  עם ציטוט חזרה למעלה
חזרה לתוכן הדיון
אורח · ·
 

הודעה פורסם: 28/03/2018 - 17:50
נושא ההודעה:

חשבתי שפתרתי את בעיית העדיפות לחיבור ל https אבל סתם התבלבלתי ואני לא יודע איך גורמים ל nginx לתת עsיפות ל https על פני http?
 
   
תגובה  עם ציטוט חזרה למעלה
חזרה לתוכן הדיון
אורח · ·
 

הודעה פורסם: 29/03/2018 - 14:10
נושא ההודעה:

הבעיה נפתרה ולא יודע אם הסתדר מעצמו או שהתוספת הבאה לקונפיג nginx בבלוק server פתרה את הבעיה - בכל מקרה עכשיו יש עדיפות ל HTTPS:
קוד:
 # Redirect HTTP to HTTPS
    if ($scheme = http) {
        return 301 https://$server_name$request_uri;

בטלתי את השורה:
קוד:
return 301 https://$host$request_uri;

דרך אגב: מדוע לא ניתן לבטל (בראוטר וב nginx) את הגישה בפורט 80 עבור HTTP ולהשאיר רק את 443? יש משתמשים שלא יכולים להתחבר עם HTTPS?

ננסה לחפש איך מתקינים חידוש Let's Encrypt אוטומטי?
 
   
תגובה  עם ציטוט חזרה למעלה
חזרה לתוכן הדיון
חתוללא בפורום כעת ת.הצטרפות: 03/11/2007 · הודעות: 1034 ·
 

הודעה פורסם: 29/03/2018 - 14:12
נושא ההודעה:

Anonymous :

דרך אגב: מדוע לא ניתן לבטל (בראוטר וב nginx) את הגישה בפורט 80 עבור HTTP ולהשאיר רק את 443? יש משתמשים שלא יכולים להתחבר עם HTTPS?

אפשר לבטל אבל רוב המשתמשים ינסו לגשת ב־http וחבל שהם יקבלו שגיאה.
 
 צפיה בפרופיל המשתמש שלח הודעה פרטית ביקור באתר המפרסם  
תגובה  עם ציטוט חזרה למעלה
חזרה לתוכן הדיון
הצגת הודעות מלפני:     
מעבר אל:  
כל הזמנים הם GMT + 2 שעות
תגובה לנושא
צפיה בנושא הבא Printable version התחבר כדי לבדוק הודעות פרטיות צפיה בנושא הקודם
PNphpBB2 © 2003-2004 

תוכן הדיון

  1. אורח
  2. חתול
  3. אורח
  4. אורח [צפריר]
  5. אורח
  6. אורח
  7. אורח
  8. אורח [צפריר]
  9. אורח
  10. אורח
  11. אורח [צפריר]
  12. אורח
  13. חתול
  14. אורח
  15. אורח
  16. ILANS
  17. אורח
  18. אורח [צפריר]
  19. אורח [אורח]
  20. אורח
  21. אורח
  22. אורח
  23. אורח
  24. חתול