Tuonti Lets Encrypt -varmenteelle USG:lle

Tässä ohjeartikkelissa haluan näyttää, kuinka voit käyttää Raspberry Pi:tä Let’s Encrypt -varmenteen asentamiseen USG:lle.

Johdanto

Käytämme Apache-palvelinta ja Let’s Encrypt -lisäosaa Apachessa, joka toimii Raspberry Pi:llä, ladataksemme varmenteen tietylle verkkotunnukselle. Käytämme myös Pi:tä tämän varmenteen päivittämiseen.

Vientiämme varmenteen Pi:stä ja tuomme sen USG:lle.

Mihin varmenteita käytetään?

Varmenteen avulla pääset eroon selaimesi turvallisuusvaroituksista, kuten HotSpotin tai SSL VPN:n yhteydessä.

Vaatimukset

  1. Tarvitset verkkotunnuksen (DN) (esimerkiksi hotspot.hotel-mayer.de)
  2. Jos sinulla ei ole staattista IP-osoitetta, sinun on myös varmistettava, että DN pysyy ajan tasalla,
    voit käyttää USG:n DDNS-vaihtoehtoa: Configuration > Network > DDNS
  3. Jos käytät USG:tä kaksois-NAT-tilanteessa, sinun on varmistettava, että HTTP ja HTTPS välitetään USG:lle
  4. Sinun täytyy osata käyttää NAT:ia oikein
  5. Tarvitset Raspberry Pi:n ja SD-kortin käyttöjärjestelmää varten
  6. Tietokone, johon on asennettu Tera Term tai Putty ja WinSCP
  7. Sinun täytyy osata käyttää SSH-terminaalia USG:llä
  8. USG:n tulee olla vähintään FW-versiota 4.30

1. Pi:n ja Apachen asennus

Tässä tapauksessa tarvitsemme Pi:lle vain komentorivipohjaisen käyttöjärjestelmän (Raspbian Stretch Lite)
lataa se Raspberry Pi:n verkkosivuilta ja asenna dokumentaation mukaisesti.

https://www.raspberrypi.org/downloads/raspbian/
https://www.raspberrypi.org/documentation/installation/installing-images/README.md
 

1.1 SSH:n käyttöönotto ja salasanan vaihto

Ota nyt SSH käyttöön. Aseta SD-kortti tietokoneeseesi ja luo tyhjä tiedosto nimeltä “SSH” SD-kortin juurihakemistoon.

Kun asennus on valmis, liitä Pi verkkoosi, käynnistä se ja tarkista, voitko käyttää sitä SSH:n kautta (esimerkiksi Puttylla tai Tera Termillä)

Käyttäjä: pi
Salasana: raspberry

Suositus 1: vaihda salasana ohjeen mukaan:
https://www.raspberrypi.org/documentation/configuration/raspi-config.md

Suositus 2: Varmista, että Pi saa aina saman IP-osoitteen

1.2 Päivitä Pi ja asenna Apache-palvelin

Voimme nyt tarkistaa päivitykset ja asentaa ne

sudo apt update && sudo apt upgrade --yes

Kun tämä on tehty, voimme asentaa Apache-palvelimen

sudo apt install apache2 --yes

Asennuksen jälkeen sinun pitäisi pystyä näkemään Apachen oletussivu selaamalla Raspberryn IP-osoitteeseen.

mceclip0.png

On aika käynnistää Pi uudelleen:

shutdown -r

Sillä välin asetamme (väliaikaisen) porttiohjauksen Pi:lle.

2. Porttiohjaus

Porttien 80 ja 443 avaamiseksi internetiin. Alla löydät tarvittavat vaiheet

2.1 Vaihda USG:n HTTPS-portti esimerkiksi 8443:ksi
Nyt voit käyttää USG:tä näin: https://192.168.1.1:8443

2.2 Määritä porttiohjaus HTTP:lle ja HTTPS:lle
Tarkista, että pääset käsiksi Pi:n testisivulle internetistä

3. Luo ja vie varmenne

Ennen kuin voimme saada Let's Encrypt -varmenteen, meidän täytyy asentaa Let’s Encrypt -lisäosa Apacheen. Se auttaa verkkotunnuksesi varmentamisessa.

sudo apt install certbot python-certbot-apache --yes

3.2 Ensimmäisen varmenteen luominen

Luomme nyt ensimmäisen varmenteen:

sudo certbot --apache

Täytät lomakkeen asianmukaisesti. Sinulta kysytään, haluatko ohjata liikenteen pysyvästi uudelleen.

mceclip1.png

 mceclip2.png

Varmenne pyydetään ja asennetaan automaattisesti Apache-palvelimelle.

3.3 Varmennteen vienti ja lataaminen

Voit nyt viedä varmenteen aikaleimalla.

sudo openssl pkcs12 -export -out /tmp/myusg_"$(date +"%Y-%m-%d")".p12 -inkey /etc/letsencrypt/live/[verkkotunnuksesi]/privkey.pem -in /etc/letsencrypt/live/[verkkotunnuksesi]/cert.pem

Sinun täytyy syöttää salasana. Varmista, että muistat tämän salasanan, sillä tarvitset sitä myös USG:lle tuonnissa.

mceclip3.png

Saadaksesi varmenteen Pi:ltä, meidän täytyy muuttaa myusg_[päivämäärä].p12-tiedoston käyttöoikeuksia.

sudo chmod 777 myusg[date].p12

Nyt voit hakea tiedoston /tmp-kansiosta WinSCP:llä.

4. Tuo varmenne USG:lle

4.1 Lataa ja tuo Let's Encryptin juurivarmenteet ja välivarmenteet

Jotta USG luottaa aiemmin vietyyn varmenteeseen, meidän täytyy tuoda Let's Encryptin juuri- ja välivarmenteet:

https://letsencrypt.org/certificates/

Varmista, että varmenteet tallennetaan pem-muodossa (esimerkiksi letsencryptauthorityx3.pem).

Siirry nyt USG:llä kohtaan Configuration > Objects > Certificates > Trusted certificates ja tuo juuri- ja välivarmenteet.

4.2 Tuo ja aktivoi varmenteesi

USG:llä mene kohtaan Configuration > Objects > Certificates > My Certificates ja tuo varmenne (sinun täytyy myös syöttää salasana)

Mene kohtaan Configuration > System > WWW, ja Server Certificate -kohdasta voit nyt valita tuomasi varmenteen.

5. Määritä HTTP-HTTPS-uudelleenohjaus oikein

5.1 Poista NAT käytöstä Pi:lle

Jotta portit 80 ja 443 vapautuisivat taas USG:lle, sinun täytyy poistaa NAT käytöstä Pi:lle. Mene kohtaan Configuration > Network > NAT ja etsi ja poista käytöstä säännöt, jotka vastaavat NAT:sta. Älä poista sääntöjä, koska tarvitset niitä myöhemmin uudelleen.

5.2 Aseta USG:n HTTPS-portti takaisin 443:ksi ja ota käyttöön HTTP-HTTPS-uudelleenohjaus

Mene kohtaan Configuration > System > WWW ja aseta HTTPS-portti takaisin 443:ksi. Varmista, että HTTP-uudelleenohjaus on käytössä.

5.3 Poista IP-osoite näkyvistä

USG käyttää nyt tuomaasi varmennetta. Jäljellä oleva "ongelma" on, että USG ohjaa HTTP:n HTTPS:ään näin:

https://192.168.1.1/redirect.cgi?arip=[verkkotunnuksesi]&original_url=http://[verkkotunnuksesi]/

mceclip4.png

Tämä aiheuttaa tietenkin varmenneongelman. Poistaaksesi tämän viestin lopullisesti, avaa SSH-istunto USG:lle ja anna seuraavat komennot:

Router> configure terminal
Router(config)# web-auth redirect-fqdn [verkkotunnuksesi]
Router(config)# write
Router(config)# exit
Router> write

Nyt uudelleenohjaus näyttää tältä:

https://[verkkotunnuksesi]/redirect.cgi?arip=[verkkotunnuksesi]&original_url=http://[verkkotunnuksesi]/

mceclip5.png

 Onnittelut, sinulla on nyt Let's Encrypt -varmenne käytössä USG:lläsi.

Varmenneen uusiminen

Let's Encrypt -varmenteet ovat voimassa 90 päivää. Tämä tarkoittaa, että sinun täytyy uusia varmenne kolmen kuukauden välein.

1. Avaa HTTP- ja HTTPS-portit Pi:lle uudelleen

a) vaihda USG:n HTTPS-portti uudelleen (kohta 2.1)
b) ota NAT HTTP/HTTPS:lle Pi:lle uudelleen käyttöön (kohta 2.2)

2. Kirjaudu SSH:lla Pi:hin ja uusi varmenne

Avaa SSH-istunto Pi:hin ja anna tämä komento

sudo certbot renew

Tämä uusia varmenteen jälleen 90 päiväksi

3. Vie ja tuo varmenne

Noudata nyt kohtaa 3.3

4. Päivitä varmenne USG:llä

Jatka kohdasta 4.2

5. Vaihda portit takaisin

Noudata kohtia 5.1 ja 5.2

Onnittelut, olet nyt uusinut Let's Encrypt -varmenteen USG:lläsi.

Vastuuvapauslauseke: Ymmärräthän, että tämä on vain kuvaus siitä, miten saada Let's Encrypt -varmenne USG:lle. Jos Raspberry Pi:ssä ilmenee ongelmia, emme valitettavasti voi tarjota tukea Pi:hin liittyvissä ongelmissa!

Tämän osion artikkelit

Oliko tämä artikkeli hyödyllinen?
0/3 koki tästä olevan apua
Jaa

Kommentit

0 kommenttia

Kirjaudu sisään jättääksesi kommentin.