каким ключом подписать трафик https?

[Илдар]

Добрый день.

Нужно поднять свой https-сервер на кинетике.

Порт например 3000 и чтобы он был доступен из интернета: https://my_router.keenetic.link:3000

Так вот, для https сертификат и приватный ключ - откуда брать?

Полагаю те же, которыми кинетик шифрует трафик своего веб-интерфейса.

Т.е есть какое-то хранилище сертификатов у него (оно скрыто или открытые файлы?).

Как к ним добраться, где они лежат?

 

[Илдар]

Уважаемые кинетикосоздатели, озвучьте хотя бы политику: например, ключи прячутся и вы не считаете правильным, чтобы сторонний софт на кинетике им пользовался.

А то я пока жду, а мне надо что-то делать, видимо lets encrypt-бота ставить придётся, тогда видимо сертификат встроенный устареет, что не есть хорошо.

[KorDen]

1 минуту назад, Илдар сказал:

тогда видимо сертификат встроенный устареет,

Ничего не устареет, два сертификата для одного домена - нормальная практика

[Илдар]

да уж, пока пришлось самому выпустить.

certbot не ставится, поэтому ставим acme.sh 

https://github.com/Neilpang/acme.sh

acme не ставится, т.к. ожидает наличия /urs/bin/env , поэтому ставим с мучениями:

opkg install socat

1. скачать архив:

curl https://github.com/Neilpang/acme.sh/archive/master.tar.gz > master.tar.gz
tar xzf master.tar.gz

2. cd acme.sh-master

cd acme.sh-master

3. заменим все #!/usr/bin/env sh      на   #!/opt/bin/sh

export INSTALLONLINE=
find . -name "*.sh" -type f -exec sed -i 's/#!\/usr\/bin\/env sh/#!\/opt\/bin\/sh/g' {} +

4. ставим 

./acme.sh --install

 

5. переводим веб-интерфейс кинетика на 81 порт

6. пробрасываем 80 порт снаружи внутрь

7. выпускаем сертификат

 

export DOMAIN=myrouter.keenetic.link

./acme.sh --issue --standalone -d $DOMAIN --debug

8. убираем проброс порта 80

9. возвращаем веб-интерфейс кинетика на 80 порт

 

Edited September 6, 2019 by Илдар

[KorDen]

Есть же dehydrated, в котором только в одном месте надо поменять "#!/usr/bin/env bash" на "#!/opt/bin/bash"

1 час назад, Илдар сказал:

6. пробрасываем 80 порт снаружи внутрь

Достаточно открыть в фаерволе

1 час назад, Илдар сказал:

9. возвращаем веб-интерфейс кинетика на 80 порт

Что мешает перманентно перенести сервер кинетика на другой порт?

[Илдар]

29 минут назад, KorDen сказал:

Есть же dehydrated, в котором только в одном месте надо поменять "#!/usr/bin/env bash" на "#!/opt/bin/bash"

Что ж вы раньше не сказали?

29 минут назад, KorDen сказал:

Что мешает перманентно перенести сервер кинетика на другой порт?

На другой порт - насколько я понимаю кинетик тогда сам перестанет обновлять свой сертификат, оно же по 80 порту только обновляется.

[AndreBA]

17 минут назад, Илдар сказал:

На другой порт - насколько я понимаю кинетик тогда сам перестанет обновлять свой сертификат, оно же по 80 порту только обновляется.

Цитата

 

 

[Илдар]

13 минуты назад, AndreBA сказал:

 

круто, спасибо.