Tässä ohjeartikkelissa haluan näyttää, kuinka voit käyttää Raspberry Pi:tä Let’s Encrypt -varmenteen asentamiseen USG:lle.
Johdanto
Käytämme Apache-palvelinta ja Let’s Encrypt -lisäosaa Apachessa, joka toimii Raspberry Pi:llä, ladataksemme varmenteen tietylle verkkotunnukselle. Käytämme myös Pi:tä tämän varmenteen päivittämiseen.
Vientiämme varmenteen Pi:stä ja tuomme sen USG:lle.
Mihin varmenteita käytetään?
Varmenteen avulla pääset eroon selaimesi turvallisuusvaroituksista, kuten HotSpotin tai SSL VPN:n yhteydessä.
Vaatimukset
- Tarvitset verkkotunnuksen (DN) (esimerkiksi hotspot.hotel-mayer.de)
- Jos sinulla ei ole staattista IP-osoitetta, sinun on myös varmistettava, että DN pysyy ajan tasalla,
voit käyttää USG:n DDNS-vaihtoehtoa: Configuration > Network > DDNS - Jos käytät USG:tä kaksois-NAT-tilanteessa, sinun on varmistettava, että HTTP ja HTTPS välitetään USG:lle
- Sinun täytyy osata käyttää NAT:ia oikein
- Tarvitset Raspberry Pi:n ja SD-kortin käyttöjärjestelmää varten
- Tietokone, johon on asennettu Tera Term tai Putty ja WinSCP
- Sinun täytyy osata käyttää SSH-terminaalia USG:llä
- USG:n tulee olla vähintään FW-versiota 4.30
1. Pi:n ja Apachen asennus
Tässä tapauksessa tarvitsemme Pi:lle vain komentorivipohjaisen käyttöjärjestelmän (Raspbian Stretch Lite)
lataa se Raspberry Pi:n verkkosivuilta ja asenna dokumentaation mukaisesti.
https://www.raspberrypi.org/downloads/raspbian/
https://www.raspberrypi.org/documentation/installation/installing-images/README.md
1.1 SSH:n käyttöönotto ja salasanan vaihto
Ota nyt SSH käyttöön. Aseta SD-kortti tietokoneeseesi ja luo tyhjä tiedosto nimeltä “SSH” SD-kortin juurihakemistoon.
Kun asennus on valmis, liitä Pi verkkoosi, käynnistä se ja tarkista, voitko käyttää sitä SSH:n kautta (esimerkiksi Puttylla tai Tera Termillä)
Käyttäjä: pi
Salasana: raspberrySuositus 1: vaihda salasana ohjeen mukaan:
https://www.raspberrypi.org/documentation/configuration/raspi-config.md
Suositus 2: Varmista, että Pi saa aina saman IP-osoitteen
1.2 Päivitä Pi ja asenna Apache-palvelin
Voimme nyt tarkistaa päivitykset ja asentaa ne
sudo apt update && sudo apt upgrade --yesKun tämä on tehty, voimme asentaa Apache-palvelimen
sudo apt install apache2 --yesAsennuksen jälkeen sinun pitäisi pystyä näkemään Apachen oletussivu selaamalla Raspberryn IP-osoitteeseen.
On aika käynnistää Pi uudelleen:
shutdown -rSillä välin asetamme (väliaikaisen) porttiohjauksen Pi:lle.
2. Porttiohjaus
Porttien 80 ja 443 avaamiseksi internetiin. Alla löydät tarvittavat vaiheet
2.1 Vaihda USG:n HTTPS-portti esimerkiksi 8443:ksi
Nyt voit käyttää USG:tä näin: https://192.168.1.1:8443
2.2 Määritä porttiohjaus HTTP:lle ja HTTPS:lle
Tarkista, että pääset käsiksi Pi:n testisivulle internetistä
3. Luo ja vie varmenne
Ennen kuin voimme saada Let's Encrypt -varmenteen, meidän täytyy asentaa Let’s Encrypt -lisäosa Apacheen. Se auttaa verkkotunnuksesi varmentamisessa.
sudo apt install certbot python-certbot-apache --yes3.2 Ensimmäisen varmenteen luominen
Luomme nyt ensimmäisen varmenteen:
sudo certbot --apacheTäytät lomakkeen asianmukaisesti. Sinulta kysytään, haluatko ohjata liikenteen pysyvästi uudelleen.
Varmenne pyydetään ja asennetaan automaattisesti Apache-palvelimelle.
3.3 Varmennteen vienti ja lataaminen
Voit nyt viedä varmenteen aikaleimalla.
sudo openssl pkcs12 -export -out /tmp/myusg_"$(date +"%Y-%m-%d")".p12 -inkey /etc/letsencrypt/live/[verkkotunnuksesi]/privkey.pem -in /etc/letsencrypt/live/[verkkotunnuksesi]/cert.pemSinun täytyy syöttää salasana. Varmista, että muistat tämän salasanan, sillä tarvitset sitä myös USG:lle tuonnissa.
Saadaksesi varmenteen Pi:ltä, meidän täytyy muuttaa myusg_[päivämäärä].p12-tiedoston käyttöoikeuksia.
sudo chmod 777 myusg[date].p12Nyt voit hakea tiedoston /tmp-kansiosta WinSCP:llä.
4. Tuo varmenne USG:lle
4.1 Lataa ja tuo Let's Encryptin juurivarmenteet ja välivarmenteet
Jotta USG luottaa aiemmin vietyyn varmenteeseen, meidän täytyy tuoda Let's Encryptin juuri- ja välivarmenteet:
https://letsencrypt.org/certificates/
Varmista, että varmenteet tallennetaan pem-muodossa (esimerkiksi letsencryptauthorityx3.pem).
Siirry nyt USG:llä kohtaan Configuration > Objects > Certificates > Trusted certificates ja tuo juuri- ja välivarmenteet.
4.2 Tuo ja aktivoi varmenteesi
USG:llä mene kohtaan Configuration > Objects > Certificates > My Certificates ja tuo varmenne (sinun täytyy myös syöttää salasana)
Mene kohtaan Configuration > System > WWW, ja Server Certificate -kohdasta voit nyt valita tuomasi varmenteen.
5. Määritä HTTP-HTTPS-uudelleenohjaus oikein
5.1 Poista NAT käytöstä Pi:lle
Jotta portit 80 ja 443 vapautuisivat taas USG:lle, sinun täytyy poistaa NAT käytöstä Pi:lle. Mene kohtaan Configuration > Network > NAT ja etsi ja poista käytöstä säännöt, jotka vastaavat NAT:sta. Älä poista sääntöjä, koska tarvitset niitä myöhemmin uudelleen.
5.2 Aseta USG:n HTTPS-portti takaisin 443:ksi ja ota käyttöön HTTP-HTTPS-uudelleenohjaus
Mene kohtaan Configuration > System > WWW ja aseta HTTPS-portti takaisin 443:ksi. Varmista, että HTTP-uudelleenohjaus on käytössä.
5.3 Poista IP-osoite näkyvistä
USG käyttää nyt tuomaasi varmennetta. Jäljellä oleva "ongelma" on, että USG ohjaa HTTP:n HTTPS:ään näin:
https://192.168.1.1/redirect.cgi?arip=[verkkotunnuksesi]&original_url=http://[verkkotunnuksesi]/
Tämä aiheuttaa tietenkin varmenneongelman. Poistaaksesi tämän viestin lopullisesti, avaa SSH-istunto USG:lle ja anna seuraavat komennot:
Router> configure terminal
Router(config)# web-auth redirect-fqdn [verkkotunnuksesi]
Router(config)# write
Router(config)# exit
Router> writeNyt uudelleenohjaus näyttää tältä:
https://[verkkotunnuksesi]/redirect.cgi?arip=[verkkotunnuksesi]&original_url=http://[verkkotunnuksesi]/
Onnittelut, sinulla on nyt Let's Encrypt -varmenne käytössä USG:lläsi.
Varmenneen uusiminen
Let's Encrypt -varmenteet ovat voimassa 90 päivää. Tämä tarkoittaa, että sinun täytyy uusia varmenne kolmen kuukauden välein.
1. Avaa HTTP- ja HTTPS-portit Pi:lle uudelleen
a) vaihda USG:n HTTPS-portti uudelleen (kohta 2.1)
b) ota NAT HTTP/HTTPS:lle Pi:lle uudelleen käyttöön (kohta 2.2)
2. Kirjaudu SSH:lla Pi:hin ja uusi varmenne
Avaa SSH-istunto Pi:hin ja anna tämä komento
sudo certbot renewTämä uusia varmenteen jälleen 90 päiväksi
3. Vie ja tuo varmenne
Noudata nyt kohtaa 3.3
4. Päivitä varmenne USG:llä
Jatka kohdasta 4.2
5. Vaihda portit takaisin
Noudata kohtia 5.1 ja 5.2
Onnittelut, olet nyt uusinut Let's Encrypt -varmenteen USG:lläsi.
Vastuuvapauslauseke: Ymmärräthän, että tämä on vain kuvaus siitä, miten saada Let's Encrypt -varmenne USG:lle. Jos Raspberry Pi:ssä ilmenee ongelmia, emme valitettavasti voi tarjota tukea Pi:hin liittyvissä ongelmissa!

Kommentit
0 kommenttiaKirjaudu sisään jättääksesi kommentin.