Vinnaren i pepparkakshustävlingen!
  • 1
  • 2
2017-03-16, 21:28
  #1
Medlem
NineLightsOuts avatar
Hej!
Jag försöker installera LE på min webbserver. Ubuntu 16.04, Apache.

Efter att ha surfat runt lite verkar det som att https ska funka utan liksom att man behöver gå in och pilla i konfigurationen.
Kod:
sudo apt-get install python-letsencrypt-apache
Kod:
letsencrypt --apache

Det här är felmeddelandet:
Failed authorization procedure. ***.com (tls-sni-01): urn:acme:error:connection :: The server could not connect to the client to verify the domain :: Failed to connect to ***:443 for TLS-SNI-01 challenge, ***.com (tls-sni-01): urn:acme:error:connection :: The server could not connect to the client to verify the domain :: Failed to connect to ***:443 for TLS-SNI-01 challenge

IMPORTANT NOTES:
- The following errors were reported by the server:

Domain: ***.com
Type: connection
Detail: Failed to connect to ***:443 for TLS-SNI-01
challenge

Domain: ***.com
Type: connection
Detail: Failed to connect to ***:443 for TLS-SNI-01
challenge

To fix these errors, please make sure that your domain name was
entered correctly and the DNS A record(s) for that domain
contain(s) the right IP address. Additionally, please check that
your computer has a publicly routable IP address and that no
firewalls are preventing the server from communicating with the
client. If you're using the webroot plugin, you should also verify
that you are serving files from the webroot path you provided.

Hur ska jag gå vidare?
Jag har funderat på där det står 443. Är det portnumret för https? för portnumret för http är ju 80, så du kanske man ska ändra i virtualhosts så servername:t lyssnar på 443 istället?
Citera
2017-03-16, 21:34
  #2
Medlem
NineLightsOuts avatar
edit: i andra linan där ska det naturligtvis stå sudo letsencrypt --apache, och inte bara letsencrypt --apache, men det fattar ni säkert!
Citera
2017-03-16, 21:36
  #3
Medlem
svampdamps avatar
Om jag var du skulle jag skapa certifikat med standalone flaggan istället sen manuellt konfigurera apache att använda dem.

För att härleda till dina issues.
Börja med att köra netstat för att verifiera att något faktiskt lyssnar på :443 sedan verifiera åtkomst från internet.


Letsencrypt behöver kommunicera med din server för att verifiera att du faktiskt äger domänen.
Citera
2017-03-16, 22:13
  #4
Medlem
EckiEckis avatar
Citat:
Ursprungligen postat av NineLightsOut

Hur ska jag gå vidare?
Jag har funderat på där det står 443. Är det portnumret för https? för portnumret för http är ju 80, så du kanske man ska ändra i virtualhosts så servername:t lyssnar på 443 istället?

Börja med att få TLS att fungera med ett selfsigned certifikat, därefter kan du kika på lets encrypt. För om din server inte är rätt uppsatt förnTLS så kan du inte använda LE.
Citera
2017-03-16, 22:38
  #5
Medlem
NineLightsOuts avatar
Citat:
Ursprungligen postat av svampdamp
Om jag var du skulle jag skapa certifikat med standalone flaggan istället sen manuellt konfigurera apache att använda dem.

För att härleda till dina issues.
Börja med att köra netstat för att verifiera att något faktiskt lyssnar på :443 sedan verifiera åtkomst från internet.


Letsencrypt behöver kommunicera med din server för att verifiera att du faktiskt äger domänen.
Vad är netstat då? en loggfil? isåfall, var ligger den?
Citera
2017-03-16, 23:45
  #6
Medlem
Citat:
Ursprungligen postat av NineLightsOut
Vad är netstat då? en loggfil? isåfall, var ligger den?
netstat är ett kommando.
sudo netstat -tnap | grep :443
Citera
2017-03-16, 23:56
  #7
Medlem
NineLightsOuts avatar
Citat:
Ursprungligen postat av e7andy
netstat är ett kommando.
sudo netstat -tnap | grep :443
Jaså.

Är 5:e spalten ett ip-nummer, ett så kallat ipv6? jag censurerar.

Kod:
tcp        0      0 192.168.1.2:58688       ***:443       TIME_WAIT   -               
tcp        0      0 192.168.1.2:57268       ***:443       TIME_WAIT   -               
tcp        0      0 192.168.1.2:57308       ***:443       TIME_WAIT   -               
tcp        0      0 192.168.1.2:58684       ***:443       ETABLERAD   2050/firefox    
tcp        0      0 192.168.1.2:58690       ***:443       TIME_WAIT   -               
tcp        0      0 192.168.1.2:58694       ***:443       TIME_WAIT   -               
tcp        0      0 192.168.1.2:58692       ***:443       TIME_WAIT   -               
tcp        0      0 192.168.1.2:58686       ***:443       TIME_WAIT   -               
tcp6       0      0 :::443                  :::*                    LISTEN      3267/apache2    

Vad betyder detta?
Citera
2017-03-31, 13:03
  #8
Medlem
NineLightsOuts avatar
Framsteg!

Jag fick ett hett tips AFK angående HTTPS. Jag sa såhär "men om alla http-förfrågningar ska skickas via port 443 (HTTPS), ska man inte ha port 80 öppen?", och då sa hen "jo, både 80 och 443 ska va öppna men alla förfrågningar till 80 ska omdirigeras till 443". Hur gör man det?

I sites-enabled står det typ
<virtualhost *80>
...
</virtualhost>

eller är det i apache2.conf som man omdirigerar?
Citera
2017-03-31, 13:27
  #9
Medlem
Citat:
Ursprungligen postat av NineLightsOut
Jaså.

Är 5:e spalten ett ip-nummer, ett så kallat ipv6? jag censurerar.

Kod:
tcp        0      0 192.168.1.2:58688       ***:443       TIME_WAIT   -               
tcp        0      0 192.168.1.2:57268       ***:443       TIME_WAIT   -               
tcp        0      0 192.168.1.2:57308       ***:443       TIME_WAIT   -               
tcp        0      0 192.168.1.2:58684       ***:443       ETABLERAD   2050/firefox    
tcp        0      0 192.168.1.2:58690       ***:443       TIME_WAIT   -               
tcp        0      0 192.168.1.2:58694       ***:443       TIME_WAIT   -               
tcp        0      0 192.168.1.2:58692       ***:443       TIME_WAIT   -               
tcp        0      0 192.168.1.2:58686       ***:443       TIME_WAIT   -               
tcp6       0      0 :::443                  :::*                    LISTEN      3267/apache2    

Vad betyder detta?

4:e och 5:e kolumnen visar ip+port för din maskin respektive ip+port för motsidan för alla öppna koppel. Så det kan finnas både IPv4 och IPv6 där. Första kolumnen indikerar om anslutningen gjorts med IPv4 eller IPv6.
Citera
2017-03-31, 16:42
  #10
Medlem
Citat:
Ursprungligen postat av NineLightsOut
då sa hen "jo, både 80 och 443 ska va öppna men alla förfrågningar till 80 ska omdirigeras till 443". Hur gör man det?

Finns ett exempel i wikin där de använder Redirect i VirtualHost:
https://wiki.apache.org/httpd/RedirectSSL

Kod:
NameVirtualHost *:80
<VirtualHost *:80>
   ServerName www.example.com
   Redirect permanent / https://secure.example.com/
</VirtualHost>

<VirtualHost _default_:443>
   ServerName secure.example.com
   DocumentRoot /usr/local/apache2/htdocs
   SSLEngine On
# etc...
</VirtualHost>
Citera
2017-04-02, 19:18
  #11
Medlem
NineLightsOuts avatar
Citat:
Ursprungligen postat av Hominem
Finns ett exempel i wikin där de använder Redirect i VirtualHost:
https://wiki.apache.org/httpd/RedirectSSL

Kod:
NameVirtualHost *:80
<VirtualHost *:80>
   ServerName www.example.com
   Redirect permanent / https://secure.example.com/
</VirtualHost>

<VirtualHost _default_:443>
   ServerName secure.example.com
   DocumentRoot /usr/local/apache2/htdocs
   SSLEngine On
# etc...
</VirtualHost>
är det så man brukar göra? det verkar på dig som att det är en alternativ lösning
Citera
2017-04-08, 23:32
  #12
Medlem
NineLightsOuts avatar
Citat:
Ursprungligen postat av Hominem
Finns ett exempel i wikin där de använder Redirect i VirtualHost:
https://wiki.apache.org/httpd/RedirectSSL

Kod:
NameVirtualHost *:80
<VirtualHost *:80>
   ServerName www.example.com
   Redirect permanent / https://secure.example.com/
</VirtualHost>

<VirtualHost _default_:443>
   ServerName secure.example.com
   DocumentRoot /usr/local/apache2/htdocs
   SSLEngine On
# etc...
</VirtualHost>
Fan jag fattar inte. Jag fattar inte vad Redirect permanent / https://secure.example.com/ betyder tex. Om detta omdirigerar http tills https, så borde väl https://example.com fungera? det gör det inte, det står: warning untrusted website
Citera
  • 1
  • 2

Stöd Flashback

Flashback finansieras genom donationer från våra medlemmar och besökare. Det är med hjälp av dig vi kan fortsätta erbjuda en fri samhällsdebatt. Tack för ditt stöd!

Stöd Flashback