[ Self-Hosting ] Generare certificati SSL LetsEncrypt

ErBlask · 15 ott 2024

Un saluto a tutti , sempre per la serie sul Self-Hosting oggi cercherò con l'aiuto dei super utenti di FibraClick di impostare su OPNsense che nel post "precedente" con l'aiuto dell'utente @Fraternal3954 siamo riusciti a risolvere l'impostazione per Unbound DNS Overrides di OPNsense il quale da un nome di dominio a un determinato IP interno alla Lan .
Fatto ciò oggi cercherò di assegnare un certificato a quei sottodomini, seguendo una delle tante guide sul web mi sono indirizzato su questa guida porstata su ==>> YouTube ma con risultati nel mio caso negativi come da foto :

Come al solito sono qui per cercare di risolvere questo problema per l'SSL con l'aiuto di FibraClick Forum.
Googlando a tutta forza ho dato una sbirciata sul sito di LetsEncrypt dove spiega che tipo di sfida adottare per avere il certificato SSL con il plugin ACME che ho installato su OPNsense...
Spero che chi ha gia affrontato questo problema, mi possa dare una mano step-by-step a configurare il tutto nonostante le mie misere e scarse capacità.

ErBlask · 16 ott 2024

ErBlask Mmmmmmm sempre Googlando a tutta forza sono approdate a questo tutorian....
https://forum.opnsense.org/index.php?topic=23339.0 e a dir poco lungo, in effetti mi sono perso a metà del tutorial tra impostazioni e smanettamenti... se qualche anima pia mi può aiutare a interpretarlo passo passo

Viper86 · 16 ott 2024

Se crei un certificato "falso" per un override DNS interno alla tua lan, non puoi generare un certificato con LetsEncrypt. Devi generarlo autofirmato, e di conseguenza non valido per nessun browser.

Il sistema di validazione di LetsEncrypt si basa su due modalità diverse: HTTP e DNS
Che vuol dire? Che tu esegui una richiesta di creazione di un certificato SSL a LetsEncrypt per miodominio.com, che fuori dalla tua rete equivale a:
miodominio.com -> DNS record A -> 56.25.41.10 (ip a caso)
ma che nella tua rete, grazie al tuo override, diventa:
miodominio.com -> DNS record A -> 192.168.0.5 (ip a caso)

Quando LetsEncrypt cercerà di validare la tua richiesta tenterà in due modi:
HTTP
http://<YOUR_DOMAIN>/.well-known/acme-challenge/<TOKEN>
Verificherà se è presente un token file nel tuo webserver collegato a quel dominio

DNS
_acme-challenge.<YOUR_DOMAIN>
Cercherà un record TXT nel DNS con un token relativo alla richiesta di certificato

Ovviamente entrambe le verifiche falliranno perchè per il resto del mondo miodominio.com ha un indirizzo IP diverso da quello indicato dal tuo override.
Qui trovi maggiori dettagli: https://letsencrypt.org/it/docs/challenge-types/

L'unico certifico che puoi generare è un self-signed:
https://linuxhub.it/articles/howto-come-creare-un-certificato-ssl-self-signed/

Un certificato non validato da nessun'altro e per tanto considerato valido da nessun browser. Anche se non valido, questo genere di certificato ti consente comunque di avviare una comunicazione criptata.

ErBlask · 16 ott 2024

Viper86 grazie della delucidazione comunque seguendo la guida sono riuscito a far scaricare dal plugin ACME il certificato da cloudflare dove ho riesumato un dominio che sta parcheggiato da qualche annetto attualmente sono in giro e non posso postare lo screen, appena rientro aggiorno il post.
Spero di non aver sbagliato in ACME perché ho messo sia il dominio (dominio.ovh) che il jolly (*.dominio.ovh) almeno seguendo la guida postata su dice per applicare il certificato anche ai sottodomini di rete, e diciamo che il plugin ACME di OPNsense mi dice OK al certificato.
Il problema e tutto il resto che non riesco a fare specie al punto 8 della guida
https://forum.opnsense.org/index.php?topic=23339.0
Il proxy diciamo che sono riuscito a settarlo, ma il resto non ci entra in zucca