Ayuda SSL en servidor Web
#1
Tengo 3 paginas en funcionamiento y necesitaria instalar certificado de seguridad para poder activar https en los dominios. ¿Alguien sabe como hacerlo?
Red2pepper
---------------
TS-453mini 8Gb
  Reply
#2
Hola

Yo lo tengo hecho en dos Qnap distintas bajo una misma red y con servicios webs en ellas.
Primero creo un certificado lets encrypt de un dominio mío (no el de qnapcloud) en una Qnap.
Una vez generado e instalado en esa máquina, lo exporto e importo en la otra.

¿Es eso lo que quieres?

Pegas, no hace autorenovación cada tres meses como hace Qnap.
En su día hice un script para auto renovar cuando tenía letsencrypt instalado como paquete qpkg. Pero luego Qnap lo agregó de forma nativa para sus certificados y dejó de funcionarme ☹️


Un saludo
Agur eta ondo ibili
Un saludo

Agur eta ondo ibili

Ganekogorta (TS-469Pro, TVS-673e, QBoat Sunny, TS-453Be, TR-002 y QHora-301w) Ʀɐɯ0η
  Reply
#3
(29-06-2018, 05:37 PM)Ganekogorta Wrote: Hola

Yo lo tengo hecho en dos Qnap distintas bajo una misma red y con servicios webs en ellas.
Primero creo un certificado lets encrypt de un dominio mío (no el de qnapcloud) en una Qnap.
Una vez generado e instalado en esa máquina, lo exporto e importo en la otra.

¿Es eso lo que quieres?

Pegas, no hace autorenovación cada tres meses como hace Qnap.
En su día hice un script para auto renovar  cuando tenía letsencrypt instalado como paquete qpkg. Pero luego Qnap lo agregó de forma nativa para sus certificados y dejó de funcionarme ☹️


Un saludo
Agur eta ondo ibili

Si, esto es lo que voy buscando. Una pregunta como lo instalas? (estoy un pelin perdido)
Otra pregunta, cuando activo el servidor virtual con HTTPS, me direcciona, en lugar de a la web, a la página de entrada al servidor QNAP (puede que sea por el hecho de tener activo en el mismo dominio el acceso HTTP?)

Un saludo y gracias por la ayuda.
Red2pepper
---------------
TS-453mini 8Gb
  Reply
#4
Hola

Primero vamos a suponer que ya tienes un dominio de tu propiedad llamado "manolete.tv" y que vas a tener las siguientes páginas/servicios web: En tu proveedor de gestion de dominios, te creas los DNS hacia tu ip pública. Por ejemplo creamos:

www.manolete.tv
manolete.tv
nextcloud.manolete.tv
owncloud.manolete.tv
Todos ellos apuntarán a nuestra ip fija de casa. Si es dinámica has de instalar algo para que le digas a tu gestor de dominios cual es tu ip actual.

Puede ser algun cliente de dns dinamico mediante script, programa ddclient, una página web, mediente una API o alguno que te sugiera tu gestor de dominios.


En el router tienes que tener abiertos el 443 y el 80 al menos durante la creación que apunten a la nas1. Luego ya podrás cerrar el 80 si lo crees conveniente.


Ahora desde la nas 1 vamos al panel de control, seguridad. lengüeta de certificado y clave privada.
Si tienes instalado el de Qnap te saldrá algo similar a esto

   

Pulso a reeemplazar certificado existente de serie autofirmado por Qnap y tengo varias opciones

   

Seleccionamos el de Lets Encript y luego rellenamos los campos siguientes

   

Aqui damos datos del dominio, del contacto de correo y las direcciones para las que será válido el dominio separadas por comas.
He dado como principal www.manolete.tv. Como secundarias manolete.tv, owncloud.manolete.tv y nextcloud.manolete.tv.

La idea es que si voy a cualquiera de esas 4 direcciones web el certificado es válido para ellas.
Por ejemplo si voy a https://pydio.manolete.tv me dará aviso de certificado erróneo, no en cambio si voy a https://www.manolete.tv/pydio ya que "cuelga" de www.manolete.tv que si tiene uno válido.

Si en tu red el DNS no eras capaz de resolver o tienes el puerto 80 cerrado te dará el siguiente aviso.
   

Si todo ha ido bien, tras una breve espera, el certificado estará instalado.

La mejor forma de comprobarlo es ir a https://www.manolete.tv desde un equipo externo a nuestra red local, deberíamos ver el candado verde o el simbolo que indique nuestro navegador.

Ahora sólo queda exportarlo para importarlo a la otra Qnap
   
Pulsamos sobre Descargar certificado, aceptamos los elementos a descargar y se generará un fichero zip con los certificados públicos, privados e intermedios.

Ahora sólo hemos de importalos desde la nas 2, yendo a panel de control seguridad, lengüeta de certificado y clave privada y pulsamos importar
   

Seleccionamos cada uno de los archivos del comprimido que exportamos antes. Será algo similar a lo siguiente
   

Pulsamos aplicar y tras unos instantes el certificado ya está operativo.
De nuevo para comprobarlo vamos a la dirección https://www.manolete.tv:5000  desde el exterior y comprobamos su correcto funcionamiento.
Tambien podemos comprobarlo desde nuestra red local, si vamos a la direccion https://172.16.1.99:5000 , nos dará un aviso de excepción y podemos ver la propiedades del certificado que presenta. Ahí veremos que es de Lets Encript y es para "manolete.tv"

Al final tendrás certificados para todos los servicios y qpkgs que usen https de forma nativa en la Qnap. Esto incluiría a los docker, pero NO a las máquinas virtuales. A las cuales deberias agregarselo de forma manual o bien agregarles otros dominios. Podríamos tener en casa dos dominios para webs independientes estando en la misma red local.

Desgraciadamente no tiene automatizada la renovación (o yo no lo he visto), pero Lets Encript te avisará por correo a admin@manolete.tv al acercase la fecha de caducidad.

Entonce tendrás ir a la web de la Qnap, al panel de control, seguridad y apartado de certificados para que pulses el botón de Renovación de certificados (recuerda que antes hay que abrir el puerto 80).
Luego te tocará exportar de nuevo e importar en la otra de forma manual.

Espero no haberme dejado nada, si ves algún error me avisas y lo corrijo.
Un saludo

Agur eta ondo ibili

Ganekogorta (TS-469Pro, TVS-673e, QBoat Sunny, TS-453Be, TR-002 y QHora-301w) Ʀɐɯ0η
  Reply
#5
Completisimo!!! Me faltaba un punto importante que era los dominios secundarios en Lets Encript. Creo que con esta guía no tendré problemas.

Me pongo a ello y si encuentro algo te comento.

Muchas gracias por tu ayuda.
Red2pepper
---------------
TS-453mini 8Gb
  Reply
#6
He revisado el procedimiento, pero tengo varias dudas:

Al hacer como principal http://www.manolete.tv y como secundarias manolete.tv, owncloud.manolete.tv y nextcloud.manolete.tv, perdemos el certificado para la conexión al servidor (myqnapcloud.com), ¿es correcto?

En mi caso, que tengo 3 páginas web y 1 solo servidor Qnap, solo podría dar certificado a un dominio, ¿correcto? ¿Como doy certificado al resto?

Saludos y muchas gracias por tu ayuda.
Red2pepper
---------------
TS-453mini 8Gb
  Reply
#7
(30-06-2018, 12:34 PM)red2pepper Wrote: He revisado el procedimiento, pero tengo varias dudas:

Al hacer como principal http://www.manolete.tv y como secundarias manolete.tv, owncloud.manolete.tv y nextcloud.manolete.tv, perdemos el certificado para la conexión al servidor (myqnapcloud.com), ¿es correcto?

En mi caso, que tengo 3 páginas web y 1 solo servidor Qnap, solo podría dar certificado a un dominio, ¿correcto? ¿Como doy certificado al resto?

Saludos y muchas gracias por tu ayuda.
Hola
Efectivamente no puedes hacer mezclas de certificados a menos que tengas uno en la Qnap y otro diferente en un VM (no deja de ser otro equipo y otra ip).
Pierdes el de qnapcloud, pero no pasa nada ya que supongo no publicarás nada desde manolete.myqnapclod.com

Podría hacer lo que te he comentado con un mismo certificado:
Web1.manolete.tv
Web2.manolete.tv
Web3.manolete.tv

Claro que aquí tenemos un problema añadido de que todas usan él mismos puerto 443.
Y te toca montar un proxy inverso que detecte a donde quieres ir para que haga lo siguiente (imagino todo en la misma Qnap)
Web1.manolete.tv—>www.manolete.tv/web1
Web2.manolete.tv—>www.manolete.tv/web2
Web3.manolete.tv—>www.manolete.tv/web3

Si te fijas las tres webs tienen la misma ip pública y el mismo puerto, por eso hay que hacer lo del
proxy inverso.


Un saludo
Agur eta ondo ibili
Un saludo

Agur eta ondo ibili

Ganekogorta (TS-469Pro, TVS-673e, QBoat Sunny, TS-453Be, TR-002 y QHora-301w) Ʀɐɯ0η
  Reply
#8
Interesante !

Una pregunta! ...las páginas que tenéis en vuestros nas para qué son?

Qué conexiones tenéis?
  Reply
#9
En mi caso auto consumo, por practicar y aprender.

Hace poco he instalado Nextcloud, migrando datos de la anterior Owncloud, que a su vez instalé para evitar usar dropbox.

Pero también he tenido Galerías de fotos familiares con sus permisos y grupos. Sobre todo usadas para acontecimientos familiares

Tengo un servidor Plex para compartir mis vídeos a mis dispositivos.
He tenido una web para gestión de claves para usuarios familiares.
Una web de inventarios informáticos.
He tenido un joomla con artículos míos y enlaces a otras web externas e internas...

Las posibilidades son variadas.


Un saludo
Agur eta ondo ibili
Un saludo

Agur eta ondo ibili

Ganekogorta (TS-469Pro, TVS-673e, QBoat Sunny, TS-453Be, TR-002 y QHora-301w) Ʀɐɯ0η
  Reply
#10
Muy interesante el tema. 
Estoy buscando información sobre ello. Aprovecho el hilo, si no le importa al anfitrión, para exponer mi duda ya que es muy similar.

Yo tengo mi web en el nas y también quiero pasarla a https. Además expongo una duda relacionada también.
En mi caso el dominio lo tengo configurado para que apunte al ddns de qnap. (xxxx.myqnapcloud.com). Tengo creados 4 hosts virtuales. 2 para http y 2 para https. (con www y sin "www")
Si entro por http a mi dominio funciona correctamente, pero por https tengo que poner el puerto. A qué puede ser debido?

Y sobre el certificado. Tengo el certificado de Let's Encrypt instalado para el nas con el dominio de xxxx.myqnapcloud.com. Tenía entendido que así era válido para las web que pudieras instalar en el nas. Según indicas, Ganekogorta, se debe registrar el certificado con el dominio correspondiente. Pero claro, perdería el certificado para myqnapcloud...

Alguna forma de tener los dos?

Muchas gracias y disculpas a red2pepper si no era el sitio correcto para exponer mi duda.

Saludos.
  Reply




Users browsing this thread: 1 Guest(s)