2 web-сервера за pfSense на 80 порту для Let's Encrypt



  • Всем привет!
    Не первые сутки бьюсь с проблемой. За pfsense стоят 2 сервака с nginx и asterisk с apache. Для первого выпускаю сертификаты. Let's encrypt по 80 порту стучится, все ок, сертификат выпущен. Проблема возникла с другим серваком asterisk со встроенным apache, который тоже сидит на 80 порту, который нельзя изменить для let's encrypt. Раньше nginx не стоят, все было ок. Сертификаты выпускались. Соответственно возникла, что появился второй сервак тоже на 80 порту. Вопрос как выпустить сертификат? ;)) Пока маюсь с колхозом, выключаю правило в NAT на pfSense, чтобы запросы let's encrypt заворачивались на apache. Есть мысли как победить такую задачу?



  • @maxyca
    Может HAProxy как-то можно для этого использовать?

    Зы. Зачем на астере апач живет?



  • @maxyca
    pfSense умеет сам получать сертификаты, в пакетах есть ACME (Automated Certificate Management Environment, for automated use of LetsEncrypt certificates). Причем там можно и через DNS сертификаты получать через API, не маясь с этими портами. Среди поддерживаемых DNS сервисов (коих там полно) есть Cloudflare, DigitalOcean, Godaddy, Leaseweb, Linode, nic.ru, reg.ru, Selectel, vultr.com, Yandex.

    Потом можно по крону тянуть сертификаты с pfSense на сервера



  • @rubic said in 2 web-сервера за pfSense на 80 порту для Let's Encrypt:

    Потом можно по крону тянуть сертификаты с pfSense на сервера

    Вот с этим как раз возникла загвоздка. Как это сделать?
    С nginx проблем нет, он для сайтов с sftp по крону получает и обновляет сертификаты.
    Проблема с asterisk, т.к. на нем установлен apache для freepbx нужно через графическую оболочку продлевать сертификат. Он конечно это сам делал, когда индивидуально на 80 порту сидел.



  • т.к. на нем установлен apache для freepbx нужно через графическую оболочку продлевать сертификат

    Можно через cron обновлять сертификаты (там certbot ,вроде или можно доустановить) + делать fwconsole reload после в этом же задание

    Что-типа
    0 4 * * 1-5 sudo -u asterisk /var/lib/asterisk/bin/fwconsole reload
    И допишите под себя обновление сертификатов.



  • @werter Спасибо за наводку, буду колдовать.


Log in to reply