Haproxy e e certificati ssl letsencrypt per funzionamento in locale

senseiluke

Ciao,
Per abilitare la criptazione ssl delle pagine web per glii indirizzi IP e localdomain che usavo per pfsense sono sempre ricorso ai certificati autofirmati, esportavo poi i due certicati, root e sub, per il mio browser. Ho sempre pensato che fosse più che sufficiente.
Ho visto un video in internet in cui veniva utilizzato allo scopo Haproxy con acme certificate e volevo provare la stessa cosa con il mio pfsense.
Ci sono però un paio di cose che non mi sono chiare e sono abbastanza sicuro che si tratti di dubbi da principiante. Lo so, ma sperimento per imparare più che altro.
In poche parole posso ottenere un cerificato ssl letsencrypt che funzioni solo in locale anche offline? Insomma senza che faccia ricorso a domain o subdomain di servizi internet esterni (nel mio caso un servizio ddns che mi permette anche di creare subdomain) o magari anche utilizzando questi servizi per creare un domain vorreii essere in grado di navigare sulle pagine criptate anche offline, insomma senza accedere a richieste esterne che vengono poi rendirizzate in locale verso queste pagine.

Spero che sia chiara la mia domanda.
Grazie

kiokoman

@senseiluke
non ho ben capito ma ti posso dire che senza un dominio valido non puoi ottenere un certificato da letsencrypt, come intendi usare haproxy senza essere online?

senseiluke

@kiokoman said in Haproxy e e certificati ssl letsencrypt per funzionamento in locale:

@senseiluke
non ho ben capito ma ti posso dire che senza un dominio valido non puoi ottenere un certificato da letsencrypt, come intendi usare haproxy senza essere online?

In pratica ottenere un certificato per un dominio locale (tipo pfsense.localdomain). Alternativamente mi va bene anche assegnare un dominio valido (magari aggiungo un A record al mio servizio DDNS). Mi domandavo però cosa succede quando la mia rete è offline. In quest'ultimo caso Il mio pc locale non può utlizzare la criptazione e il certifcato ssl per la pagina dashboard di pfsense (installato su un altro pc server)? Il certificato e la copertura ssl della pagina hanno necessariamente bisogno della connessione per verificare ad ogni accesso la validità del certificato?
Questo meccanismo non mi è tanto chiaro in verità.

Grazie

kiokoman

@senseiluke
pfsense.localdoman non è un dns valido per letsencrypt
una volta emesso il certificato e installato è valido anche offline

senseiluke

@kiokoman said in Haproxy e e certificati ssl letsencrypt per funzionamento in locale:

@senseiluke
pfsense.localdoman non è un dns valido per letsencrypt
una volta emesso il certificato e installato è valido anche offline

Ah, quindi funziona anche offline. Bene
A proposito vorrei capire meglio una cosa in dettaglio.
Diciamo che sono online e ho abilitato un domain e subdomain sul mio ddns service a cui ho poi associato in ha proxy un certificato letsencrypt.

Quando richiedo la pagina dashboard web di pfsense ad esempio, la mia richiesta va ai server dns (tipo google o opendns) per poi passare al mio servizio ddns che reindirizza al mio Ip pubblico e da qui dal mio rotuer che forwarda verso il server in cui è installato pfsense?
Se è così questo "giro tortuoso" si può evitare o automaticamente il router vedendo che il servizio è sulla stessa rete non inoltra la richiesta online e la indirizza direttamente al servere locale con pfsense?

Grazie

kiokoman

@senseiluke
pfsense non dovrebbe essere mai raggiungibile dall'esterno...
dovrai cambiare il nome host di pfsense da pfsense.localhost a pfsense.nomedominio.xyz, installare il pacchetto acme, ottenere il certificato e impostarlo per la gui di pfsense, dovrai poi collegarti al pfsense usando il nome di dominio affinchè il certificato sia valido e non usando l'ip, ad esempio https://pfsense.nomedominio.xyz
in seguito dovrai usare/configurare split dns
https://docs.netgate.com/pfsense/en/latest/recipes/port-forwards-from-local-networks.html?#method-2-split-dns

senseiluke

@kiokoman said in Haproxy e e certificati ssl letsencrypt per funzionamento in locale:

@senseiluke
> pfsense non dovrebbe essere mai raggiungibile dall'esterno...

E lo so, per questo avevo questo dubbio e volevo evitare quel giro; "pericoloso" a mio avviso.

> dovrai cambiare il nome host di pfsense da pfsense.localhost a pfsense.nomedominio.xyz, installare il pacchetto acme, ottenere il certificato e impostarlo per la gui di pfsense, dovrai poi collegarti al pfsense usando il nome di dominio affinchè il certificato sia valido e non usando
l'ip, ad esempio https://pfsense.nomedominio.xyz

Ok, ora penso di aver capito cosa fare qui.

in seguito dovrai usare/configurare split dns
https://docs.netgate.com/pfsense/en/latest/recipes/port-forwards-from-local-networks.html?#method-2-split-dns*

Ah ecco, forse mi mancava proprio questo passaggio per capirne il funzionamento adattandolo alla mia richiesta.
Secondo quanto ho detto, vedi qualcosa che a tuo avviso dovrebbe essere evitata. Vale la pena secondo te fornirsi di questo certificato?
Grazie

kiokoman

@senseiluke
se vuoi imparare qualcosa di nuovo si altrimenti è tanto lavoro per niente

senseiluke

@kiokoman said in Haproxy e e certificati ssl letsencrypt per funzionamento in locale:

@senseiluke
se vuoi imparare qualcosa di nuovo si altrimenti è tanto lavoro per niente

Beh si, hai capito il punto. In effetti non mi serve praticamente a niente per quel che ci faccio. Anche pfsense mi serve a poco, ma mi ha aiutato a capire alcuni meccanismi del networking che, soprattutto in quest'ultimo anno, è diventato il mio hobby.
Grazie