Certbot letsencrypt на другой порт, чем 443

12

Я хочу настроить certbot для веб-сервера на порт, отличный от 443. При запуске я получил следующую ошибку

certbot --apache -d <sub>.<domain>.<ext>

Неудачная процедура авторизации. sub.domain.ext (tls-sni-01): urn: acme: error: connection :: Серверу не удалось подключиться к клиенту для проверки домена :: Не удалось подключиться к external_ip: 443 для вызова TLS-SNI-01

После этой ошибки я прочитал справочные страницы, где я нашел это:

--tls-sni-01-port TLS_SNI_01_PORT Номер порта для выполнения вызова tls-sni-01. Валун в режиме тестирования по умолчанию равен 5001. (по умолчанию: 443)

Затем я попробовал следующее, чтобы исправить эту ошибку:

certbot --apache --tls-sni-01-port 14831 -d <sub>.<domain>.<ext>

После добавления порта tls-sni-01 я получил ту же ошибку.

Можно ли установить сертификат с другим портом или я что-то не так делаю?

apache-2.4 ssl-certificate lets-encrypt certbot CaptainJack
источник
Не могли бы вы предоставить нам документацию для certbot, в которой указано, как использовать "--tls-sni-01-port 14831"? Я еще не видел это там
Сироты
--tls-sni-01-port TLS_SNI_01_PORT Номер порта для выполнения вызова tls-sni-01. Валун в тестовом режиме по умолчанию равен 5001. (по умолчанию: 443)
CaptainJack
Вы пробовали --dvsni-port {PORT}?
Сироты
Прочитайте это, но если я попробую certbot --apache --dvsni-port <port> -d <sub>. <Domain>. <Ext>, он скажет: certbot: error: нераспознанные аргументы: --dvsni-port <port>
CaptainJack
1
SSL может быть на любом порту, вам просто нужно указать номер порта
CaptainJack

Ответы:

10

Согласно: https://community.letsencrypt.org/t/how-to-specify-a-port-different-from-443-for-the-dvsni-challenge/12753/4

Это невозможно с помощью certbot. Вы должны взглянуть на другой метод реализации здесь: https://community.letsencrypt.org/t/list-of-client-implementations/2103

Дети сироты
источник
2
Certbots FAQ, кажется, говорит иначе? certbot.eff.org/faq/…
Дуглас Гаскелл
@DouglasGaskell FAQ изменился с момента публикации этого ответа. Но это не меняет ответ на самом деле.
Сироты
Понимаю. Тем не менее, хорошо отметить, что вместо этого вы можете использовать DNS TXT-запись с certbot. Я только что сделал это прошлой ночью.
Дуглас Гаскелл
Вы правы, вы можете редактировать этот ответ с этой информацией! @DouglasGaskell
Сироты
2

Я полагал, что tls-sniэто все еще возможно, но, основываясь на найденном инциденте , letsencrypt советует людям не использовать tls-sniдо будущего уведомления, например, предстоящую tls-sni-03спецификацию с проблемами.

Майкл
источник
0

если это похоже на мои серверы на сайте, где у меня есть общедоступные ip-порты 80 и 443, перенаправленные на частные ip-порты 8080 и 8443, вы можете сделать это следующим образом: certbot certonly --manual

который попросит вас сделать доступным хеш в определенном URL-адресе, что легко достигается созданием файла в корневом каталоге веб-сервера с запрошенным содержимым, например http://your.site.com/178412ufhjakjkaslkasflalifalafllkdflkjf, и проблемой является adsjaskldlkajsdlkasdlakjsldjalskd

поэтому вы создаете / var / www / html / 178412ufhjakjkaslkasflalifalafllkdflkjf, и его содержимое должно быть adsjaskldlkajsdlkasdlakjsldjalskdasdada

Надеюсь, это поможет

Фернандо Чмелевски
источник