Certbot permet de crypter sur un port différent de 443

12

Je souhaite configurer certbot pour un serveur Web sur un port différent de 443. J'ai obtenu l'erreur suivante lors de l'exécution

certbot --apache -d <sub>.<domain>.<ext>

Échec de la procédure d'autorisation. sub.domain.ext (tls-sni-01): urn: acme: erreur: connexion :: Le serveur n'a pas pu se connecter au client pour vérifier le domaine :: Impossible de se connecter à external_ip: 443 pour le défi TLS-SNI-01

Après cette erreur, j'ai lu les pages de manuel, où j'ai trouvé ceci:

--tls-sni-01-port TLS_SNI_01_PORT Numéro de port pour effectuer le test tls-sni-01. Boulder en mode test par défaut est 5001. (par défaut: 443)

J'ai ensuite essayé ce qui suit pour corriger cette erreur:

certbot --apache --tls-sni-01-port 14831 -d <sub>.<domain>.<ext>

Après avoir ajouté le port tls-sni-01, j'ai eu la même erreur.

Est-il possible d'installer un certificat avec un port différent, ou est-ce que je fais quelque chose de mal?

CaptainJack
la source
Pourriez-vous s'il vous plaît nous fournir la documentation de certbot qui indique comment utiliser "--tls-sni-01-port 14831"? Je ne l'ai pas encore vu là-bas
Orphelins
--tls-sni-01-port TLS_SNI_01_PORT Numéro de port pour effectuer le test tls-sni-01. Boulder en mode test par défaut à 5001. (par défaut: 443)
CaptainJack
Avez-vous essayé --dvsni-port {PORT}?
Orphelins
Lisez cela, mais si j'essaye certbot --apache --dvsni-port <port> -d <sub>. <domain>. <ext> il dit: certbot: erreur: arguments non reconnus: --dvsni-port <port>
CaptainJack
1
SSL peut être sur n'importe quel port, il vous suffit de spécifier le numéro de port
CaptainJack

Réponses:

10

Selon: https://community.letsencrypt.org/t/how-to-specify-a-port-different-from-443-for-the-dvsni-challenge/12753/4

Ce n'est pas possible avec certbot. Vous devriez jeter un œil à l'autre méthode d'implémentation ici: https://community.letsencrypt.org/t/list-of-client-implementations/2103

Orphelins
la source
2
La FAQ Certbots semble dire le contraire? certbot.eff.org/faq/…
Douglas Gaskell
@DouglasGaskell La FAQ a changé depuis la publication de cette réponse. Mais cela ne change pas la réponse. Il n'y a aucun moyen d'émettre un certificat LE sur un autre port puis 80 ou 443 selon la FAQ
Orphelins
Je vois. Cependant, il est bon de noter que vous pouvez utiliser l'enregistrement DNS TXT à la place avec certbot. Je viens de le faire hier soir.
Douglas Gaskell
Vous avez raison, vous êtes plus que bienvenus pour éditer cette réponse avec cette information! @DouglasGaskell
Orphans
2

Je pensais que c'était tls-snitoujours possible, mais sur la base de l'incident trouvé, letsencrypt conseille aux gens de ne pas utiliser tls-snijusqu'à nouvel ordre, par exemple la tls-sni-03spécification à venir avec des défis.

Michael
la source
0

si le cas est similaire à mes serveurs sur un site, dans lequel j'ai les ports IP publics 80 et 443 transmis aux ports IP privés 8080 et 8443, vous pouvez le faire de cette façon: certbot certonly --manual

qui vous demandera de mettre à disposition un hachage dans une URL particulière, facilement accomplie en créant un fichier dans votre répertoire racine de serveur Web avec le contenu demandé, à savoir http://your.site.com/178412ufhjakjkaslkasflalifalafllkdflkjf et le défi étant adsjaskldlkajsdlkasdlakjsldjalskdasdada

vous créez donc / var / www / html / 178412ufhjakjkaslkasflalifalafllkdflkjf, et son contenu doit être adsjaskldlkajsdlkasdlakjsldjalskdasdada

J'espère que cela aide

Fernando Chmielewsky
la source