certbot - HTTPS NGINX - פורט אחר מלבד 443

מנצפך

אני משתמש בNGINX.
ובשביל ה HTTPS השתמשתי ב certbot.
הבעיה ש certbot משתמש אוטומטית ב 443.
האם יש אפשרות להשתמש בפורט אחר?

אתן הדגמה להפניה של certbot

  listen 443 ssl; # managed by Certbot
    ssl_certificate /etc/letsencrypt/live/MYDOAMIN.co.il/fullchain.pem; # managed by Certbot
    ssl_certificate_key /etc/letsencrypt/live/MYDOAMIN.co.il/privkey.pem; # managed by Certbot
    include /etc/letsencrypt/options-ssl-nginx.conf; # managed by Certbot
    ssl_dhparam /etc/letsencrypt/ssl-dhparams.pem; # managed by Certbot

אני לא יכול לשנות פשוט את ה "listen". ייתכן בגלל שהתעודה מיוצרת לפי פורט 443?

dovid

@מנצפך מה הכונה אני לא יכול? מה קורה כשאתה משנה?
שים לב שאם אתה משנה את הפורט הדפדפן צריך לדעת מזה: אתה צריך לכתוב mydomain.com:543.

מנצפך

כמובן שצריך להפנות לכתוב בדפדפן.
מה שכתוב זה שהתעודה לא תקפה.

הנחתי שזה בגלל שהתעודה מתייחסת גם לפורט (כמו שהיא מתייחסת, להבנתי, לדומיין). והתעודה כבר נוצרה אוטומטית ע"י certbot.

אני צודק?

dovid

@מנצפך צודק: https://community.letsencrypt.org/t/letsencrypt-doesnt-work-for-different-ports/17519

nigun

@מנצפך
לא הבנתי
אם אתה מקים שרת שמאזין לפורט 8000 זה לא עובד שם ?
זה משהו מוגדר בתוך התעודה?
כי כשאני יוצר תעודה לבד (בלי NGINX) זה תקף לכל הפורטים
(יש לי בעיה אחרת שכשאני יוצר תעודה ידנית, certbot צריך גישה לפורט 443 ויש לי שם שרת פעיל כבר)

חוקר

אני הצלחתי לעשות תעודה עם סרבוט ולהשתמש בה בפורט 8085.
לא זוכר איך עשיתי את זה

מנצפך

@חוקר אשמח אם תבדוק.
או שאולי תעלה את הקטע מהקובץ קונפיג של nginx

מנצפך

@nigun אמר בcertbot - HTTPS NGINX - פורט אחר מלבד 443:

@מנצפך
לא הבנתי
אם אתה מקים שרת שמאזין לפורט 8000 זה לא עובד שם ?
זה משהו מוגדר בתוך התעודה?
כי כשאני יוצר תעודה לבד (בלי NGINX) זה תקף לכל הפורטים
(יש לי בעיה אחרת שכשאני יוצר תעודה ידנית, certbot צריך גישה לפורט 443 ויש לי שם שרת פעיל כבר)

אני מקים שרת שמאזין לhttp באיזה פורט שאני רוצה.
אני בכלל לא מתעסק עם תעודות אבטחה, nginx מטפל בכל זה, יחד עם certbot.
כשאני ניגש לדומיין שלי לפורט 443, nginx יושב על הפורט הזה ומעביר אותי לפורט שהשרת שלי מאזין ב HTTP. השרת שלי מקבל תקשורת http רגילה

nigun

@מנצפך
ומה קורה כשאתה מנסה להאזין עם nginx לפורט אחר? הוא לא משתמש בתעודה? או שהוא משתמש והתעודה לא תקפה?

חוקר

@מנצפך אמר בcertbot - HTTPS NGINX - פורט אחר מלבד 443:

@חוקר אשמח אם תבדוק.
או שאולי תעלה את הקטע מהקובץ קונפיג של nginx

בהגדרות של הnginx מופיע לי:

server {
    listen 8075 ssl;
    server_name mydomain.net www.mydomain.net;
    ssl_certificate /etc/letsencrypt/live/mydomain.net/fullchain.pem; # managed by Certbot
    ssl_certificate_key /etc/letsencrypt/live/mydomain.net/privkey.pem; # managed by Certbot
    include /etc/letsencrypt/options-ssl-nginx.conf; # managed by Certbot
    ssl_dhparam /etc/letsencrypt/ssl-dhparams.pem; # managed by Certbot

    location / {
        proxy_pass http://127.0.0.1:8070;
        #proxy_set_header Host $host;
        proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
        proxy_set_header X-Forwarded-Proto $scheme;
        # the next 3 lines are for cocket protocol nedded both for web ui and mobile app
        proxy_http_version 1.1;
        proxy_set_header Upgrade $http_upgrade;
        proxy_set_header Connection "upgrade";
    }
}

יוסף בן שמעון

@מנצפך אולי תנסה לוותר על NGINX ולהשתמש בתעודה בעצמך, אם אתה בנוד עושים את זה עם מודול https.createServer(app) שהאפפ זה המופע של אקספרס

מנצפך

@יוסף-בן-שמעון באופן תקני זה נכון לדעתי להשתמש בתעודה של NGINX

יוסף בן שמעון

@מנצפך אמר בcertbot - HTTPS NGINX - פורט אחר מלבד 443:

@יוסף-בן-שמעון באופן תקני זה נכון לדעתי להשתמש בתעודה של NGINX

אין כזה דבר תעודה של NGINX, התעודה אותה תעודה שהנפיקו עבורך, סה"כ רצו להקל עליך ובנו לך סקריפט שמגדיר את התעודה בNGINX, למה זה יותר תקני להשתמש בו ולא לממש את התעודה בעצמך בעשר אצבעותיך בכל שרת שתראה לנכון?

מנצפך

התכוונתי לתעודה האוטומטית שcertbot יוצר לNGINX

לדעתי יותר נכון להשתמש ככה. כי בכל מקרה משתמשים ב NGINX בשביל הניתוב.
אפשר כל דבר לממש לבד, אבל יותר נכון להשתמש בדברים הקיימים.

אני לא בטוח, אבל לדעתי גם IIS מממש בעצמו את הSSL.