תעודת אבטחה לשרת עם ((Apache על מערכת Windows+ התקנה.
-
@yossiz אמר בתעודת אבטחה לשרת עם nginx על מערכת Windows+ התקנה.:
@shmuel0990 אמר בתעודת אבטחה לשרת עם nginx על מערכת Windows+ התקנה.:
למה הם לא משתמשים בהוחכות נורמאליות כמו כל חברה
כי רצו לאמטט את התהליך שלא יהא צורך בתמיכה. זה פרוייקט בלי מטרות רווח ואין להם משאבים עבור לשלם צוות.
מה נראה לך גוגל שאני פותח חשבון עם סיומת דומיין נציג צריך לאשר את זה? זה אוטומאתי שהם רואים שהתעבורה מופנת אילהם.
אז למה פה זה לא ככה -
@shmuel0990 אמר בתעודת אבטחה לשרת עם nginx על מערכת Windows+ התקנה.:
זה לא רק להחליף את הקבצים של התעודה?
לקבל תעודה מ-letsencrypt צריך להוכיח שהדומיין שייך לך. הם לא סתם נותנים. ובשביל להוכיח צריך להריץ תוכנה.
זה יצר לי 3 קבצים איזה מהם אני אמור להתקין? את הCRT?
אני לא יודע.
אבל איך שם הוראות על ווינדוס.
@yossiz אמר בתעודת אבטחה לשרת עם nginx על מערכת Windows+ התקנה.:
הנה התחלה:
https://community.letsencrypt.org/t/windows-nginx-help/40882
זה לא כל כך מסובך.תוריד win-acme מפה
תריץ אותו עם הפרמטרים הנכונים
אמור להיות דרך לתזמן אותו לרוץ כל יום
אח"כ תצטרך להגדיר את nginx ידניזה פחות או יותר אותם הוראות עבור apache
@yossiz אמר בתעודת אבטחה לשרת עם nginx על מערכת Windows+ התקנה.:
לקבל תעודה מ-letsencrypt צריך להוכיח שהדומיין שייך לך. הם לא סתם נותנים. ובשביל להוכיח צריך להריץ תוכנה.
עקרונית האימות בעלות זה ע"י שאתה שם קובץ במיקום מוסכם איתם.
בד"כ המיקום באתר הוא/.well-known/acme-challengeכל הרעיון של התוכנה זה רק installer שעושה את כל התהליך לבד כולל החידוש האוטומטי כל X זמן.
שיטת האימות הזו מקובלת ונפוצה גם בגוגל ועוד.
מה שכן, אם הדומיין מתארח על שרת שיתופי, אז יש אפשרות טכנית לגנוב סאב דומיין + HTTPS שלו.
המייל שלי urivpn@gmail.com
-
@yossiz אמר בתעודת אבטחה לשרת עם nginx על מערכת Windows+ התקנה.:
לקבל תעודה מ-letsencrypt צריך להוכיח שהדומיין שייך לך. הם לא סתם נותנים. ובשביל להוכיח צריך להריץ תוכנה.
עקרונית האימות בעלות זה ע"י שאתה שם קובץ במיקום מוסכם איתם.
בד"כ המיקום באתר הוא/.well-known/acme-challengeכל הרעיון של התוכנה זה רק installer שעושה את כל התהליך לבד כולל החידוש האוטומטי כל X זמן.
שיטת האימות הזו מקובלת ונפוצה גם בגוגל ועוד.
מה שכן, אם הדומיין מתארח על שרת שיתופי, אז יש אפשרות טכנית לגנוב סאב דומיין + HTTPS שלו.
@clickone נכון. אבל רק סאב דומיין.
אז אני יאמת את הדומיין שלי הראשי.אבל לא משנה. אולי אחרי זה.... עכשיו יותר חשוב לי לביינתים איך אני מוציא אישור אבטחה מהאפצ'י שיהיה ניתן להתקינו במכשירים אחרים כדי שאני יקבל חיבור מאובטח באתר שלי?
אגב, כאשר אני מקבל אישור אבטחה אני צריך לקבל אישור נפרד לכל סאב דומיין?
-
@shmuel0990 אם אתה רוצה שכל דפדפן יכיר בתעודה, אתה חייב תעודה רשמית. (אתה לא חייב לקנות כי יש שירות חינמי - letsencrypt) אבל זה מחזיר אותנו לתחילת האשכול...
אם מספיק לך תעודה אישית שתצטרך להתקין שבכל דפדפן/מחשב שמשתמש באתר, אז התעודה הזאת מספיק רק צריך להתקין את החלק הציבורי בכל מחשב שמשתמש באתר.@yossiz אמר בתעודת אבטחה לשרת עם nginx על מערכת Windows+ התקנה.:
@shmuel0990 אם אתה רוצה שכל דפדפן יכיר בתעודה, אתה חייב תעודה רשמית. (אתה לא חייב לקנות כי יש שירות חינמי - letsencrypt) אבל זה מחזיר אותנו לתחילת האשכול...
אם מספיק לך תעודה אישית שתצטרך להתקין שבכל דפדפן/מחשב שמשתמש באתר, אז התעודה הזאת מספיק רק צריך להתקין את החלק הציבורי בכל מחשב שמשתמש באתר.טוב. אני יתחיל. מה להוריד?
win-acme.azure.v2.0.8.356.zip 340 KB win-acme.dreamhost.v2.0.8.356.zip 4.51 KB win-acme.route53.v2.0.8.356.zip 331 KB win-acme.v2.0.8.356.zip 2.73 MB Source code (zip) Source code (tar.gz) -
@yossiz אמר בתעודת אבטחה לשרת עם nginx על מערכת Windows+ התקנה.:
@shmuel0990 אם אתה רוצה שכל דפדפן יכיר בתעודה, אתה חייב תעודה רשמית. (אתה לא חייב לקנות כי יש שירות חינמי - letsencrypt) אבל זה מחזיר אותנו לתחילת האשכול...
אם מספיק לך תעודה אישית שתצטרך להתקין שבכל דפדפן/מחשב שמשתמש באתר, אז התעודה הזאת מספיק רק צריך להתקין את החלק הציבורי בכל מחשב שמשתמש באתר.טוב. אני יתחיל. מה להוריד?
win-acme.azure.v2.0.8.356.zip 340 KB win-acme.dreamhost.v2.0.8.356.zip 4.51 KB win-acme.route53.v2.0.8.356.zip 331 KB win-acme.v2.0.8.356.zip 2.73 MB Source code (zip) Source code (tar.gz)@shmuel0990 מן הסתם זה:
win-acme.v2.0.8.356.zip📧 יוסי@מייל.קום | 🌎 בלוג | ☕ קפה
-
@shmuel0990 תכתוב
1📧 יוסי@מייל.קום | 🌎 בלוג | ☕ קפה
-
@shmuel0990 אמר בתעודת אבטחה לשרת עם nginx על מערכת Windows+ התקנה.:
אני ירשום רק את הדומיין הראשי?
אהממ... זה לא יעבוד עבור סאבדומיינים. יש אפשרות של wildcard (כלומר, *.mydomain.com) ...
📧 יוסי@מייל.קום | 🌎 בלוג | ☕ קפה
-
@shmuel0990 אמר בתעודת אבטחה לשרת עם nginx על מערכת Windows+ התקנה.:
אני ירשום רק את הדומיין הראשי?
אהממ... זה לא יעבוד עבור סאבדומיינים. יש אפשרות של wildcard (כלומר, *.mydomain.com) ...
@yossiz אמר בתעודת אבטחה לשרת עם nginx על מערכת Windows+ התקנה.:
@shmuel0990 אמר בתעודת אבטחה לשרת עם nginx על מערכת Windows+ התקנה.:
אני ירשום רק את הדומיין הראשי?
(ד"א שם הדומיין שלך גלוי בצילום מסך שהעלית...)
אוף. תמיד אני נכשל
.מה הכוונה רק סאב דומיינים? עלי להתחיל את זה מהתחלה ולכתוב
*.shshsh.shsh -
אפשר לעשות על כל סאב דומיין בנפרד. (זה מה שאני עושה בשרתים שלי)
בכלל, כל מה שאתה חושף על הדומיין שלך לא אמור להיות חשוף כלל
וזה לדעתי מסוכן.
בעיקר הMYSQLהמייל שלי urivpn@gmail.com
-
אפשר לעשות על כל סאב דומיין בנפרד. (זה מה שאני עושה בשרתים שלי)
בכלל, כל מה שאתה חושף על הדומיין שלך לא אמור להיות חשוף כלל
וזה לדעתי מסוכן.
בעיקר הMYSQL -
אפשר לעשות על כל סאב דומיין בנפרד. (זה מה שאני עושה בשרתים שלי)
בכלל, כל מה שאתה חושף על הדומיין שלך לא אמור להיות חשוף כלל
וזה לדעתי מסוכן.
בעיקר הMYSQL@clickone אמר בתעודת אבטחה לשרת עם nginx על מערכת Windows+ התקנה.:
אפשר לעשות על כל סאב דומיין בנפרד. (זה מה שאני עושה בשרתים שלי)
נסית wildcard? יש סיבה לא להשתמש?
📧 יוסי@מייל.קום | 🌎 בלוג | ☕ קפה
-
@clickone אמר בתעודת אבטחה לשרת עם nginx על מערכת Windows+ התקנה.:
אפשר לעשות על כל סאב דומיין בנפרד. (זה מה שאני עושה בשרתים שלי)
נסית wildcard? יש סיבה לא להשתמש?
-
@clickone אמר בתעודת אבטחה לשרת עם nginx על מערכת Windows+ התקנה.:
אפשר לעשות על כל סאב דומיין בנפרד. (זה מה שאני עושה בשרתים שלי)
נסית wildcard? יש סיבה לא להשתמש?
@yossiz
לא ניסיתי
כי אני משתמש בIIS על השרת ווינדוס
ושם הכל אוטומטי כולל החידוש (ממשק די דומה למה ש @shmuel0990 העלה כאן)
סוג של התקן ושכח....אגב גם certbot פשוט מקים תעודה בנפרד לכל סאב דומיין (לפחות בשרתי לינוקס שאני ניסיתי)
@shmuel0990 לא. אא"כ תלך על מה ש @yossiz הציע.
אחרת, כל סאב דומיין צריך להיות בנפרד. (בשנייה שנדע איך עושים את זה על הראשון כל השאר כבר ירוץ)ד"א, לגבי מה שכתבתי שזה מסוכן, אל תשכח שיש מספיק רובוטים שסורקים את הרשת ורק מחפשים פירצות.
אין סיבה שהם לא ימצאו את הIP שלך, ובריצה על הלינקים ימצאו כניסה לphpmyadmin ואז תתחיל החגיגההמייל שלי urivpn@gmail.com
-
@yossiz
לא ניסיתי
כי אני משתמש בIIS על השרת ווינדוס
ושם הכל אוטומטי כולל החידוש (ממשק די דומה למה ש @shmuel0990 העלה כאן)
סוג של התקן ושכח....אגב גם certbot פשוט מקים תעודה בנפרד לכל סאב דומיין (לפחות בשרתי לינוקס שאני ניסיתי)
@shmuel0990 לא. אא"כ תלך על מה ש @yossiz הציע.
אחרת, כל סאב דומיין צריך להיות בנפרד. (בשנייה שנדע איך עושים את זה על הראשון כל השאר כבר ירוץ)ד"א, לגבי מה שכתבתי שזה מסוכן, אל תשכח שיש מספיק רובוטים שסורקים את הרשת ורק מחפשים פירצות.
אין סיבה שהם לא ימצאו את הIP שלך, ובריצה על הלינקים ימצאו כניסה לphpmyadmin ואז תתחיל החגיגה -
@clickone איך יכנסו לphpmyadmin עם הroot מבוטל וכניסה ללא סיסמה מבוטלת?
אדרבא... החכימיני.
אם באמת עדיין בעיה אני יבטל את phpmyadmin ורק לlocalhost יאפשר.@shmuel0990
הם יריצו שמות משתמשים רנדומלים / לפי מילון וסיסמאות......
וגם אם בסופו של דבר לא יצליחו אז הם בינתיים יעסיקו לך את השרת.
וכמובן יש את שאר השיטות כמו הנדסה חברתית וכו....
תכלס אני כעת משלם על שטות שמישהו לא שם לב שירדה לו הגנה, ותקפו את השרת שלו.
הנזק שם היה 38 אלף שח שהוא לצערי לא מוכן לשלם כי זה היה פריצה ואני משלם את זה
אז למה לך להיכנס לזה...
לפחות את הMYSQL הייתי משאיר על פורט לא סטנדרטי אא"כ אתה ממש חייבהמייל שלי urivpn@gmail.com
-
@shmuel0990
הם יריצו שמות משתמשים רנדומלים / לפי מילון וסיסמאות......
וגם אם בסופו של דבר לא יצליחו אז הם בינתיים יעסיקו לך את השרת.
וכמובן יש את שאר השיטות כמו הנדסה חברתית וכו....
תכלס אני כעת משלם על שטות שמישהו לא שם לב שירדה לו הגנה, ותקפו את השרת שלו.
הנזק שם היה 38 אלף שח שהוא לצערי לא מוכן לשלם כי זה היה פריצה ואני משלם את זה
אז למה לך להיכנס לזה...
לפחות את הMYSQL הייתי משאיר על פורט לא סטנדרטי אא"כ אתה ממש חייב
