This is the old XigmaNAS forum in read only mode,
it will taken offline by the end of march 2021!



I like to aks Users and Admins to rewrite/take over important post from here into the new fresh main forum!
Its not possible for us to export from here and import it to the main forum!

https приделать к Web Server (не самоподписанные сертификаты)

Russian community

Moderators: alexey123, MikeMac

Forum rules
Set-Up GuideFAQsForum Rules
Post Reply
Shperrung
experienced User
experienced User
Posts: 138
Joined: 04 Apr 2018 16:29
Status: Offline

https приделать к Web Server (не самоподписанные сертификаты)

Post by Shperrung »

День добрый!
В "коробке" крутится NAS4FREE c Web Server, MySQL (в клетке), Nextcloud (OBI) и прочее... Nextcloud через проброшенный порт был доступен из Интернета по http://... Мне это не понравилось и я слепил на сайтике самоподписанный сертифкат. Скопировал его и ключ в веб-морду Web Server и, вроде, заработало, но ГугельХром на мой Nextcloud стал "матерно" ругаться, что "небезопасный... не открывай... скинь нам его и мы его пометим фекалиями..." - что закономерно)))
Рылся в Интернете насчет легального сертификата и столкнулся, что халява есть, но обрести ее в виде двух файликов теперь сложно (я не нашел у тех издателей, на чьи сетрификаты браузеры не ругаются). Изветный в этих делах https://letsencrypt.org/ предлагает какие-то изощренные варианты:
https://certbot.eff.org/lets-encrypt/freebsd-other - с установкой плагина в сервер (я так понимаю, это наша служба Web Server). Пес его знает, встанет оно просто так или в Jail его надо и как эта зараза работает (куда ей команды вставлять)?
https://certbot.eff.org/docs/using.html#manual - как-то вручную. Но тоже надо куда-то ставить плагин и это мне, "ученой обезьяне", не по силам без копи-пасты команд для SSH от MikeMac :cry:
Как этот легальный https:// без "Warning Messages" прикрутить в NAS?
ASRock J3710-ITX, 16Gb RAM; RAID-Z 4Tx3HDD, 2T Stripe; UPS
Debian+OMV+ZFS

Vebster
NewUser
NewUser
Posts: 10
Joined: 09 Dec 2017 15:20
Status: Offline

Re: https приделать к Web Server (не самоподписанные сертификаты)

Post by Vebster »

Обычно Гугель ругается на отсутствие в сертификате альтернативного имени DNS.
Где-то уже год Гугель Хром требует наличие в сертификате субъекта и дополнительное имя субъекта (DNS имя)
Это можно найти посмотрев свойства сертификата в браузере (F12 -> Security ->View certificate)

Можно оформить новый сертификат с прописанным DNS именем и после того как добавить сертификат издателя в доверенные корневые сертификаты - Хром должен перстать ругаться.

Shperrung
experienced User
experienced User
Posts: 138
Joined: 04 Apr 2018 16:29
Status: Offline

Re: https приделать к Web Server (не самоподписанные сертификаты)

Post by Shperrung »

Приветствую!
Я уже смирился с грозным уведомлением браузера о "недоверенности". Nextcloud, для которого это все затевалось на телефоне и в браузере открывается и работает. Грех жаловаться)
Однако, всплыла иная проблема: доступ на мое Nextсloud по WebDav в Windows 10, похоже, без доверенного сертификата невозможен. Винде оно сильно надо, даже приложения WebDav с их маркетплея не желает коннектиться с моим "ящиком".
Уважаемый crest подтвердил, что работа с внедрением плагина Let'Encrypt возобновлена. Когда-нибудь увидим это в OBI.
ASRock J3710-ITX, 16Gb RAM; RAID-Z 4Tx3HDD, 2T Stripe; UPS
Debian+OMV+ZFS

Shperrung
experienced User
experienced User
Posts: 138
Joined: 04 Apr 2018 16:29
Status: Offline

Re: https приделать к Web Server (не самоподписанные сертификаты)

Post by Shperrung »

Попробовал экспортировать из роутера Асус 3-месячный сертификат от Letsencrypt. В придачу к DDNS даётся, для доступа к web-морде роутера. Адреса роутера и NAS с webserver - одинаковые, отличаются только портом на конце. Доступ к роутеру по https:// работает нормально.
Скачал два файлика: cert.pem и key.pem. Скопипастил в настройки webserver... и ошибка! Ключ какой-то не такой: "бла-бла... ключ не является правильным ключом".
Самоподписанный сертификат нормально стоял. В чем проблема может быть?
ASRock J3710-ITX, 16Gb RAM; RAID-Z 4Tx3HDD, 2T Stripe; UPS
Debian+OMV+ZFS

Shperrung
experienced User
experienced User
Posts: 138
Joined: 04 Apr 2018 16:29
Status: Offline

Сам спросил - сам ответил

Post by Shperrung »

WebGUI требует, чтобы в заголовке и футере КЛЮЧА были фразы:
-----BEGIN RSA PRIVATE KEY-----
-----END RSA PRIVATE KEY-----
В этих местах ключа, предоставленного asuscomm.com (DDNS), нет слова RSA. Потому настройка webserver N4F ругалась.
Камрад carloskar обратил на это внимание тут:
viewtopic.php?p=86544#p86544
ASRock J3710-ITX, 16Gb RAM; RAID-Z 4Tx3HDD, 2T Stripe; UPS
Debian+OMV+ZFS

Post Reply

Return to “Российская”