Ahoj kluci,
jak prosim vyresit problem s neplatnym certifikatem na ispadmine v4.36?
Dik

a co kdybyste popsal jaky certifikat tam ted mate a jak se tam dostal? bez toho se da radit presne tak obecne jak psal samatech

Priamo na ispadmine asi len velmi tazko ... openssl kniznica, ktora je tam pouzita nepodporuje TLS1.2, takze ani platny certifikat neporiesi vsetky chybove hlasky. Idealne riesenie postavit pred neho proxy, je to par riadkov configu.

TSL 1 neni problem, to si zapnem podporu ve firefoxu. Problem je ze eset hlasi, ze cert vyprsel pri pokusu o otevreni webu ispadminu. Na kompech bez esetu to bezi v poho. Presneji eset hlasi chybu: "Certifikát webovej stránky bol zrušený"

TLS1.2 je problém pre zákazníkov, ak sa používa aj zákaznícky portál. Oni to neskipnú.

Cert tam vieš dať zadarmo od Letsencryptu, ale asi len veľmi ťažko rozchodíš automatickú obnovu (cert platí 3 mesiace). Potreboval by si na ispadmin systeme rozbehat certbot. Takže buď ho budeš manuálne obnovovať, alebo sme zase pri proxy 🙂

    ak to chces len pre seba, tak si uprav config vhostu v apache a pusti si to klasicky http len ;-)
    ak to chces cez https tak idealne pouzit nginx proxy a letsencrypt...

    ekrajnak ISPadmin nepouzivame... jen pro sebe na pristup k histirickym zalezitostem.

        kdavid tak na hocijaku masinu nainstalovat certbot, vybrat DNS challenge, vygenerovany token nahodit do DNS. Nasledne vygenerovane certifikaty z /etc/letsencrypt/live/.... preniest na ispadmin masinu a v /etc/apache2/httpd.conf upravit cestu ku certu. Restartnut apache.

            Caddy2 jako reverzní proxy. Všechno automatizované. Není co řešit.

            • Caddyfile pro Let's Encrypt přes http01 challenge:
            {
  admin off
  email your@email
  cert_issuer acme
}

#
ispadmin.example.cz {
    header_up X-Real-IP {remote}
    reverse_proxy 127.0.0.1:8080
}

            ekrajnak To mi přijde jako spousta práce, která nemá opodstatnění v roce 2023. Ajťák má být línej 😄

                ekrajnak Ale jo, pochopili. Vím, že jsi sám prvně navrhoval použít reverzní TLS proxy. Zkrátka bych na tom řešení trval a do aplikačního serveru certifikáty necpal. Nehledě na to, že je potřeba řešit rotaci těch LE certifikátů po max. 90 dnech, což si solidní reverzní proxy řeší sama. U Certbotu se musí použít post hook nebo reload aplikačního serveru přes cron. To není dobrý.

                  📡 Telekomunikace.cz