Certbot permite cifrar en un puerto diferente al 443

12

Quiero configurar certbot para un servidor web en un puerto diferente al 443. Recibí el siguiente error al ejecutar

certbot --apache -d <sub>.<domain>.<ext>

Procedimiento de autorización fallido. sub.domain.ext (tls-sni-01): urn: acme: error: connection :: El servidor no pudo conectarse al cliente para verificar el dominio :: No se pudo conectar a external_ip: 443 para el desafío TLS-SNI-01

Después de este error, he leído las páginas de manual, donde encontré esto:

--tls-sni-01-port TLS_SNI_01_PORT Número de puerto para realizar el desafío tls-sni-01. Boulder en el modo de prueba predeterminado es 5001. (predeterminado: 443)

Luego intenté lo siguiente para corregir este error:

certbot --apache --tls-sni-01-port 14831 -d <sub>.<domain>.<ext>

Después de agregar el puerto tls-sni-01, obtuve el mismo error.

¿Es posible instalar un certificado con un puerto diferente o estoy haciendo algo mal?

apache-2.4 ssl-certificate lets-encrypt certbot CaptainJack
fuente
¿Podría proporcionarnos la documentación para certbot que indica cómo usar "--tls-sni-01-port 14831"? Todavía no lo he visto allí
Huérfanos
--tls-sni-01-port TLS_SNI_01_PORT Número de puerto para realizar el desafío tls-sni-01. Boulder en el modo de prueba predeterminado es 5001. (predeterminado: 443)
CaptainJack
¿Has probado --dvsni-port {PORT}?
Huérfanos
Lee eso, pero si intento certbot --apache --dvsni-port <port> -d <sub>. <domain>. <ext> dice: certbot: error: argumentos no reconocidos: --dvsni-port <port>
CaptainJack
1
SSL podría estar en cualquier puerto, solo necesita especificar el número de puerto
CaptainJack

Respuestas:

10

De acuerdo con: https://community.letsencrypt.org/t/how-to-specify-a-port-different-from-443-for-the-dvsni-challenge/12753/4

Esto no es posible con certbot. Debe echar un vistazo al otro método de implementación aquí: https://community.letsencrypt.org/t/list-of-client-implementations/2103

Huérfanos
fuente
2
Preguntas frecuentes de Certbots parece decir lo contrario? certbot.eff.org/faq/…
Douglas Gaskell
@DouglasGaskell Las preguntas frecuentes han cambiado desde que se publicó esta respuesta. Pero eso no cambia la respuesta en realidad. No hay forma de emitir un certificado LE en otros puertos que no sean 80 o 443 de acuerdo con las preguntas frecuentes
huérfanos el
Veo. Sin embargo, es bueno tener en cuenta que puede usar el registro TXT de DNS en su lugar con certbot. Acabo de hacer esto anoche.
Douglas Gaskell
¡Estás en lo correcto, eres más que bienvenido a editar esta respuesta con esa información! @DouglasGaskell
Huérfanos
2

Estaba creyendo que tls-snitodavía es posible, pero según el incidente encontrado, letsencrypt está recomendando a las personas que no lo usen tls-snihasta un aviso futuro, por ejemplo, la próxima tls-sni-03especificación con desafíos.

Miguel
fuente
0

Si el caso es similar a mis servidores en un sitio, en el que tengo los puertos IP públicos 80 y 443 reenviados a los puertos IP privados 8080 y 8443, puede hacerlo de esta manera: certbot certonly --manual

que le pedirá que ponga a disposición un hash en una URL particular, lo que se logra fácilmente mediante la creación de un archivo en el directorio raíz del servidor web con los contenidos solicitados, es decir, http://your.site.com/178412ufhjakjkaslkasflalifalafllkdflkjf y el desafío es adsjaskldlkajsdlkasdlakjsldjalskdasdada

entonces crea / var / www / html / 178412ufhjakjkaslkasflalifalafllkdflkjf, y su contenido debe ser adsjaskldlkajsdlkasdlakjsldjalskdasdada

Espero eso ayude

Fernando Chmielewsky
fuente