PLEVEL VLÁKNO

[josse]

Ja nevim... zkousim na svy komercni domene uz nekolik hodin. Tady proste vidim

http://cms-studio.net/.well-known/acme-challenge/

Je to Alias do /var/lib/letsencrypt/http_challenges

Tam predpokladam, ze si certbot uklada sve overovaci "tentononce"

dle certbot -vvv mi nerekne nic, kam to uklada.. vubec.. sranec na to. Log a verbose na 2 veci.

Stale certbot po verifikaci jeci, ze 404 page not found, takze to uklada jinam.

Nakonec jsem se dozvedel, ze

Kód: Vybrat vše

An unexpected error occurred:
There were too many requests of a given type :: Error creating new order :: too many failed authorizations recently: see https://letsencrypt.org/docs/rate-limits/

Balim to na par hodin nez vychladnu, pac vetsi nedodelek nez certbota jsem jeste nezazil. To je katastrofa.

ja chapu ze to spouste lidi se standardni konfiguraci funguje, ale nejsou na svete jen standardni konfigurace


Ma-li nekdo kdo si timhle peklem prosel nejake napady, budu vdecen za rady.

Jo teď to nemůžu najít, asi po 3 pokusech tě banujou na pár hodin, jestli chceš něco testovat, nastav si testovací mod. Nemůžu si vzpomenout na parametr... A nedaří se mi to z telefonu najít. Tam pak můžeš pokusů kolik chceš!

[mypower.cz]

Jo teď to nemůžu najít, asi po 3 pokusech tě banujou na pár hodin, jestli chceš něco testovat, nastav si testovací mod. Nemůžu si vzpomenout na parametr... A nedaří se mi to z telefonu najít. Tam pak můžeš pokusů kolik chceš!

Tech pokusu bylo vic, ale ze bych jim zpusobil tak traumatizujici zatizeni to asi ne ... Zadny automatizovany requesty. Jen pokus zjistit kam to ten bazmek uklada a vystavit mu to jeho overeni na http tam kde ho ocekava.

Pockam. Uvdim. Silenstvi. Osobne bych to napsal asi automatizovaneji. Tohle je odflakly. I kdyz rade lidi to, jak pisu, muze fungovat na prvni dobrou.

[camel1cz]

Já používám acme.sh a je to naprosto blbuvzdorný a nikdy sem neměl problém. Možná to stojí za pokus... případně můžu poslat vzor vytvoření certifikátu.

[Jan Novák]

https://certbot.eff.org/docs/using.html#id11
Nemůžu to najít ale jednou jsem ověřoval tak, že se vkládal nějaký texťák s klíčem do http://www.domain.tld/tady.txt a pak se certbotu řeklo, že to je na tý adrese a on to tím ověřil, teď to nemůžu najít.

Ty tentononce jsou vidět normálně přes url? Tím to ověřuje.

[josse]

Jo teď to nemůžu najít, asi po 3 pokusech tě banujou na pár hodin, jestli chceš něco testovat, nastav si testovací mod. Nemůžu si vzpomenout na parametr... A nedaří se mi to z telefonu najít. Tam pak můžeš pokusů kolik chceš!

Tech pokusu bylo vic, ale ze bych jim zpusobil tak traumatizujici zatizeni to asi ne ... Zadny automatizovany requesty. Jen pokus zjistit kam to ten bazmek uklada a vystavit mu to jeho overeni na http tam kde ho ocekava.

Pockam. Uvdim. Silenstvi. Osobne bych to napsal asi automatizovaneji. Tohle je odflakly. I kdyz rade lidi to, jak pisu, muze fungovat na prvni dobrou.

Taky jsem to někdy dělal s přestávkou, ale proto že jsem nečetl všechno.

[mypower.cz]

Já používám acme.sh a je to naprosto blbuvzdorný a nikdy sem neměl problém. Možná to stojí za pokus... případně můžu poslat vzor vytvoření certifikátu.

Posli .. za cokoliv budu vdecen. Na uvedeny link mrknu, jdu prostudovat.

https://certbot.eff.org/docs/using.html#id11
Nemůžu to najít ale jednou jsem ověřoval tak, že se vkládal nějaký texťák s klíčem do http://www.domain.tld/tady.txt a pak se certbotu řeklo, že to je na tý adrese a on to tím ověřil, teď to nemůžu najít.

Ty tentononce jsou vidět normálně přes url? Tím to ověřuje.

ja mam pocit ze on je mozna ulozi kdo vi kam a pokud se nepodari verifikace tak je smaze. Ale je to jen pocit. To bych taky musel prozkoumat. Z logu ani v tom nejvetsim verbose rezimu se to nedozvim. Nepise kam to uklada. Kazdopadne na http do toho predpokladaneho adresare vidi. Viz link vyse. Tam ted vidime vsichni I letsencrypt. Ale stale rve ze page not found.

[dumi]

certbot funugje naprosto automaticky a perfektne, co zlobi je, kdyz mas na serveru i ipv6 adresu, ale nemas na IPV6 apache. on se to snazi overovat pres ipv6 a nejde mu to.

POkdu vytvaris produkcni certifikaty pro stejnou domenu, a udelas jich moc v kratkym case tak te na cas bloknou. je dobry to testovat v testovaci rezimu, tusim ze parametr --test-only , certbot ma celkem slusnou napovedu.

Pripadne se ptej

[mypower.cz]

certbot funugje naprosto automaticky a perfektne, co zlobi je, kdyz mas na serveru i ipv6 adresu, ale nemas na IPV6 apache. on se to snazi overovat pres ipv6 a nejde mu to.

POkdu vytvaris produkcni certifikaty pro stejnou domenu, a udelas jich moc v kratkym case tak te na cas bloknou. je dobry to testovat v testovaci rezimu, tusim ze parametr --test-only , certbot ma celkem slusnou napovedu.

Pripadne se ptej

Kód: Vybrat vše

          "url": "http://cms-studio.net/.well-known/acme-challenge/Of9UlJW4zCNfMqyRMJAUVz7ffuaQitGT7nxXN0RKbCk",
          "hostname": "cms-studio.net",
          "port": "80",
          "addressesResolved": [
            "88.86.115.170"

Dle verbose infa jde po IPV4. Todle asi bude cajk.

[dumi]

jo bacha na pripadny .htaccess dokazou to slusne rozbit

[mypower.cz]

jo bacha na pripadny .htaccess dokazou to slusne rozbit

taky ne, ale je mi to jasny. Na cms-studiu zadny neni. To je cisty ultra nanomikrowebik.

Co ale je urcite dulezite, na tomhle serveru kde jede mypower jsou virtualhosty. Takze certy pro https musi nejak fungovat.. SNI? Pojede to? Asi jo doufam. Tak pokud se mi to podari rozjet na cms-studiu, tak snad se pak bude dat podobne sachovat s dalsimi virtualhosty a udelat to pro komplet server. Jak se dela domenovy kos s letsencrypt. Jde to vubec? Tedy napriklad *.mypower.cz?

[camel1cz]

Posli .. za cokoliv budu vdecen. Na uvedeny link mrknu, jdu prostudovat.

Vše mám nainstalované pod userem letsencrypt.

Doména musí mít alias:

Kód: Vybrat vše

Alias /.well-known/ /home/letsencrypt/webroot/.well-known/

Potom vytvoříš certifikát přes:
(DOMAIN je primární jméno virtuálu, ALIASES jsou mezerou oddělené aliasy domény)

Kód: Vybrat vše

sudo -u letsencrypt /home/letsencrypt/.acme.sh/acme.sh --issue -d $DOMAIN \
  $ALIASES \
  -w /home/letsencrypt/webroot/

Nakonec nainstaluješ certifikát přes:
(je třeba upravit proměnné *path, aby mířily na rozumé místo pro certy domény a zajistit, aby konfigurace apache sahala na to samé místo. reloadcmd nemusíš zatím řešit)

Kód: Vybrat vše

sudo -u letsencrypt /home/letsencrypt/.acme.sh/acme.sh --installcert -d $DOMAIN \
    --certpath      /data/www/$DOMAIN/etc/certs/cert.pem  \
    --keypath       /data/www/$DOMAIN/etc/certs/key.pem  \
    --fullchainpath /data/www/$DOMAIN/etc/certs/fullchain.pem \
    --reloadcmd     "/usr/bin/touch /home/letsencrypt/restartapache.lock"

Nakonec přidáš konfiguraci https verze virtuálu:
(jsou tam nějaké blbosti navíc)

Kód: Vybrat vše

<VirtualHost xxx:443>
 ServerName {DOMAINNAME}
 SSLEngine on
 SSLCertificateFile      /data/www/{DOMAINNAME}/etc/certs/cert.pem
 SSLCertificateKeyFile   /data/www/{DOMAINNAME}/etc/certs/key.pem
 SSLCertificateChainFile /data/www/{DOMAINNAME}/etc/certs/fullchain.pem

 DocumentRoot /data/www/{DOMAINNAME}/www
 HostNameLookups off
 Options FollowSymLinks

 AddType application/x-httpd-php .php

 DirectoryIndex index.html index.php
 LogFormat "%h %l %u %t \"%r\" %>s %b \"%i\" \"%i\""
 TransferLog /data/www/{DOMAINNAME}/log/access.log
 ErrorLog /data/www/{DOMAINNAME}/log/error.log
 <Directory />
   AllowOverride All
   Order allow,deny
   Allow from all
 </Directory>

# BEGIN wordpress hardening
 <Location /wp-content/uploads/>
   php_flag engine off
 </Location>
 <Files xmlrpc.php>
   order deny,allow
   deny from all
 </Files>
# END wordpress hardening

 php_admin_value open_basedir "/tmp:/usr/share:/data/www/{DOMAINNAME}:/data/shared"
</VirtualHost>

Až ti to pojede, tak je třeba nastavit spouštění renew v cronu, ale to až bude úspěch

[josse]

jo bacha na pripadny .htaccess dokazou to slusne rozbit

taky ne, ale je mi to jasny. Na cms-studiu zadny neni. To je cisty ultra nanomikrowebik.

Co ale je urcite dulezite, na tomhle serveru kde jede mypower jsou virtualhosty. Takze certy pro https musi nejak fungovat.. SNI? Pojede to? Asi jo doufam. Tak pokud se mi to podari rozjet na cms-studiu, tak snad se pak bude dat podobne sachovat s dalsimi virtualhosty a udelat to pro komplet server. Jak se dela domenovy kos s letsencrypt. Jde to vubec? Tedy napriklad *.mypower.cz?

Přesně, SNI. Pro každý virtual svůj certifikát! Všechno musí souhlasit. Mě teda vždy stačilo v jedné PuTTY enter, alt-tab, ctrl-o a viděl jsem v druhé PuTTY jak ty adresáře vytvořil, už jsem do nich pak nestihnu vlézt, to už neexistovali, ale viděl jsem co vytvoří, když už jsi zablokovaný, můžeš zkoušet jak chceš...

[mypower.cz]

No uz zablokovany zas nejsem, ale koukam ze on se snazi sahat na konfiguraci toho vhostu, coz je dle neho v poradku... fajn, snazi se po svem. I dle me by to bylo v poradku, jenze nereloadne apache. Aspon teda nevidim v logu o tom zadnou zminku. Zmeni config, prida rewrite rule, cimz prozradi kde to chce ukladat a nasledne vyzve letsencrypt server k verifikaci, ktery tam ale nevidi nic a zajeci 404 page not found.

Kód: Vybrat vše

Storing nonce: 0001Q-0EfCsqU8avnIPxUkShtmwypHSPKnu1yG3B5NHJdOo
Performing the following challenges:
http-01 challenge for cms-studio.net
Adding a temporary challenge validation Include for name: cms-studio.net in: /etc/apache2/conf/vhosts/httpd-cms-studio.net.conf
writing a pre config file with text:
         RewriteEngine on
        RewriteRule ^/\.well-known/acme-challenge/([A-Za-z0-9-_=]+)$ /var/lib/letsencrypt/http_challenges/$1 [END]
    
writing a post config file with text:
         <Directory /var/lib/letsencrypt/http_challenges>
            Require all granted
        </Directory>
        <Location /.well-known/acme-challenge>
            Require all granted
        </Location>
    
Creating backup of /etc/apache2/conf/vhosts/httpd-cms-studio.net.conf
Waiting for verification...

Takze cesta je opravdu /var/lib/letsencrypt/http_challenges a to je presne tady http://cms-studio.net/.well-known/acme-challenge/ (edit: link uz neni funkcni, vyreseno, viz prispevky nize)

Leda ze by po sve snaze o pridani konfigurace s rewritem reloadl apache, cimz by padl muj globalni alias asi

Kód: Vybrat vše

Alias /.well-known/acme-challenge /var/lib/letsencrypt/http_challenges

<Directory /var/lib/letsencrypt/http_challenges>
  Options Indexes FollowSymLinks
  IndexOptions FancyIndexing
  allowOverride All
</Directory>

a nasledne vse vratil zpet a fungoval by muj globalni alias.

Jezismarjaaaaaaaaaaaaaa

[mypower.cz]

Damy a panove ... https://cms-studio.net

Jako at se na me nikdo nezlobi, ale camel1cz a jeho doporuceni acme.sh funguje na prvni dobrou.

Ziskani a overeni certifikatu naprosto v poho, instalace certu naprosto v poho, konfigurace apache naprosto jasna, web jako prvni z mych pokusu o https funkcni s validnim https.

Jako autori certbotu at klidne chcipnou treba na koronavir. Takovou nedodelanou sracku jsem jeste nevidel.

Odted acme.sh rulez.

Ja nevim. Zkuste prosim odkaz vyse na mou komercni domenu a reknete mi jestli tam vidite nejaky problem. Treba ze by to bylo nevalidni nebo co ja vim co. Zkousim i na mobilu a zere to.

Ja nevim. Fakt certbot vyhodit do kose. Bastl jako prase. Chapu ze nekomu mohlo fungovat. No asi kazdemu sedne neco jineho. Zkusim poresit pomalu i dalsi vhosty a taky mypower. Uvidime.

Jeste poresit renew pac cert plati do Friday, June 26, 2020 at 9:21:54 PM. Sice dost casu ale nehodlam na to furt myslet a bylo by dobre to zautomatizovat.

camel1cz tedy prijede na pristi sraz povinne (pokud skonci koronavirova panika a sraz bude) a platim mu 10 piv a obed.



Edit: tim samozrejme nijak nehanim ostatni se snahou pomoci. Vsem mnohokrat dekuji. A na srazu se na vas na vsechny tesim.

[dumi]

Ja to mam zas ovracene. Acme.sh mi strasne blblo pri naslednym znovuzadani o certifikat. Uvidis. Treba ti to pujde.

[camel1cz]

Ja to mam zas ovracene. Acme.sh mi strasne blblo pri naslednym znovuzadani o certifikat. Uvidis. Treba ti to pujde.

O renew není třeba mít obavu, pokud se pohlídá pár věcí:
- práva na cert soubory - acme.sh musí moct přepisovat a apache číst. Když se spouští stejně (viz další bod) jako při vytvoření, tak nebývá problém,
- cron job - musí běžet pod správným userem a ve správném prostředí,
- restartování apache - po renew je třeba reload apache, to se musí poladit - hlavně, když acme.sh jede pod nerootem, tak to může být tricky.

Je to prostě minimalistický nástroj, neupraví sám nic a někomu to vyhovuje někomu ne.
Já většinou u těch řešení na "jeden klik" narážím na různé side effecty, které něco rozbijou nebo zdlouhavě řeším proč nefungujou ihned a tak se držím minimalistických řešení a ruční (do)konfigurace.

Jinak mám nasazených několik desítek certifikátů víc jak rok (proběhlo teda již několik renew) a nikdy s tím nebyl problém. Ani o tom nevím.

[unicast]

No jako vice prace = vice useru pisicich prispevky jinam, vice useru pozadujicich tohle a tamto, vice useru plevelicich vlakna, vice registraci, vice tohoto, vice tam toho ... vsak zname to...

No a zejména mnohem víc blbců kolem sebe. Když uděláš nějakou překážku, třeba jen tu, že je něco ne úplně snadné najít, odfiltruješ 95 - 99 %. Můj server se třeba nikde neindexuje, občas někam maximálně tak postnu nějaký link, ale spíš se šíří v komunitě, která se celkem obstojně vzájemně zná (a která je téměř disjunktní s mypower.cz, ale to je asi vedlejší) -- a je tam klid.

[mypower.cz]

Kolegové a kolegyně, když se vrátím k tomuto tématu, už pár dnů běží https://mypower.cz včetně shopu, fóra, wikin a podobných a už jsem vyladil i některé problémy typu mixed content, apod.
Snad jediné co ještě zbývá doladit je redirect zpět na http po přihlášení, což má phpbb fórum někde nastaveno a musím zjistit kde. Což je samozřejmě blbé, ale vyřeším a doladím.
Pokud tam už nejsou nějaké jiné zásadní problémy, a nebude nikdo nic reportovat, tak dám asi přesměrování z http na https a jsme "zabezpečení"

Tak kdyžtak zkuste někdo používat, nebo pokud už někdo používá, a kdyžtak hlaste problémy.

Osobně už na mypower snad víc jak týden lezu jen přes https.

Už jen dořešit a otestovat renew certů a celá tahle záležitost je vyřešená

Jediné co nebude asi nikdy přesměrováváno je log.mypower.cz . Tady poslouchá script přijímající data z FVE do měření. Na micrology a arduina by se https dělalo blbě, i když ... takže tady s http stále počítám ale funkční bude i https. Zatím není ale ve finále tady budou fungovat obě verze protokolu.

Jak jsem zjistil, google a další vyhledávače už pěkně šmejdí po https, tak pohoda



Edit: Aha.. takže ješte i redirect po odeslání nového příspěvku háže taky zpět na http... hm .. sem si nevšim .. to bude nějaké globální nastavení určitě, to se najde.

[dumi]

To mas v plamu klasicky htto zrusit uplne a nechat jen https?

[mypower.cz]

No premyslim nad tim. I kdyz nutne to neni.