[ayf]

Коллеги, может спрошу фигню, но я с этим не сталкивался. Есть сервер мониторинга, торчащий в интернете. Но без имени сайта. То есть заход по IP. Можно ли как-то сделать, чтобы сервер работал по HTTPS? Или сертификат можно получить только на доменное имя?

[Ivan_83]

Сам можешь попробовать сгенерить самоподписной сертификат, но там всё равно завязка на днс имя.

Можешь всякие динднс юзають, как я.

[micol]

Можно, но нужен публичный IP для верификации 
Либо самоподписный сертификат)

[ayf]

16 минут назад, micol сказал:

Можно, но нужен публичный IP для верификации 
Либо самоподписный сертификат)

Айпишник у меня публичный. Это не проблема.

[YuryD]

 Самоподписные скоро ни один браузер не схавает, заодно с антивирусом. А покупать сертификат - пока дороговасто. Я уже задрался бороться с https у одного производителя железяк. Включен https - подтверждай исключение, выключен - браузер орёт про несекурное подключение. если что - это про  огнелис и ubnt.

[DimaM]

48 минут назад, YuryD сказал:

А покупать сертификат - пока дороговасто.

уже 2 года как выдают бесплатные сертификаты Let's Encrypt

есть и бесплатные доменные имена

[YuryD]

7 минут назад, DimaM сказал:

уже 2 года как выдают бесплатные сертификаты Let's Encrypt

есть и бесплатные доменные имена

 В стиле телодвижений законодателей - можно и пролететь. Dyndns меня всяко не устраивает, по причине их необязательности.

[Черномазов]

YuryD 

Из-за законодателей с платными сертификатами можно пролететь, а бесплатными, если вдруг, можно просто перестать пользоваться.

[No_name]

4 часа назад, ayf сказал:

Коллеги, может спрошу фигню, но я с этим не сталкивался. Есть сервер мониторинга, торчащий в интернете. Но без имени сайта. То есть заход по IP. Можно ли как-то сделать, чтобы сервер работал по HTTPS? Или сертификат можно получить только на доменное имя?

Юзаю https://www.sslforfree.com/.

Правда, раз в три месяца надо не забывать обновлять ключик, но зато халява.

[Ivan_83]

43 минуты назад, YuryD сказал:

В стиле телодвижений законодателей - можно и пролететь. Dyndns меня всяко не устраивает, по причине их необязательности.

ТС это не обозначил, видимо ему пофик, ибо для себя а не паблик сервис.

[UglyAdmin]

Что мешает прописать в hosts и обращаться по имени? :)

[YuryD]

Только что, Ivan_83 сказал:

ТС это не обозначил, видимо ему пофик, ибо для себя а не паблик сервис.

 Легко понимаю, хотел бы сертификат для себя. Хотя уродство, управление железяками у меня в отдельном влане, но есть и клиентские...

 

3 минуты назад, UglyAdmin сказал:

Что мешает прописать в hosts и обращаться по имени? :)

 Да ничего, сертификатов один буй нету, а протухшие от железяк - их полно. Любой удобный мне браузер - либо пошлёт эту железяку в дальние края, или 8 раз переспросит, неудобно управлять, вот и всё.

[LostSoul]

Юрий, у вас простите какой стаж вообще?

по другим постам вроде вы опытный.

 

элементарно поднимается своя зона днс например на яндексе ( бесплатно )

зачем нужно дино если адрес фиксированный непонятно.

в нее прописываются хосты для одной или нескольких железок

на железки выпускается сертификат где хотите.

можно в собственном CA , но тогда его корневой сертификат придется один раз установить на всех своих устройствах

 

 

[Andrei]

5 часов назад, Brainiac сказал:

Юзаю https://www.sslforfree.com/.

Правда, раз в три месяца надо не забывать обновлять ключик, но зато халява.

Попробовал сгенерить ключик для своего сервера с личным кабинетом для абонентов, но что-то так и не понял их требований. Короче ничего не получилось, как-то мутновато там всё

[Черномазов]

Andrei 

Let's Encrypt?

 

12 часов назад, LostSoul сказал:

элементарно поднимается своя зона днс например на яндексе ( бесплатно )

Ставить сертификат на какое-то своё имя на клиентские устройства? По мне - не очень...

Изменено 3 октября, 2017 пользователем Черномазов

[korsakik]

на lets хром ругался 3 месяца назад, "ненадёжный издатель сертификата" мол, сейчас всё ок...

 

Изменено 3 октября, 2017 пользователем korsakik

[LostSoul]

1 час назад, Черномазов сказал:

Andrei 

Let's Encrypt?

 

Ставить сертификат на какое-то своё имя на клиентские устройства? По мне - не очень...

В чем проблема? захочет поменяет.

По умолчанию делаете какой-нить там deviceABDCEF.clients-pool.provider.ru

где ABDCEF это последние три байта мак-адреса.

так же как с хостнеймом в обратной зоне. ( у нормальных провайдеров есть )

[UglyAdmin]

17 часов назад, YuryD сказал:

сертификатов один буй нету, а протухшие от железяк - их полно. Любой удобный мне браузер - либо пошлёт эту железяку в дальние края, или 8 раз переспросит, неудобно управлять, вот и всё.

Это да. Я на старые HP Proliant 360 в ILO могу зайти только со старого же IE, который в винде2к. Остальные все посылают лесом.

 

Но про hosts - это было топикстартеру. :)

[YuryD]

В 02.10.2017 в 22:07, LostSoul сказал:

элементарно поднимается своя зона днс например на яндексе ( бесплатно )

 

 Тут дело такое :) У меня куча своих зон, но 10.0.0.0/16 в яндексе я не подниму, как обратную. Хотя свои и прямые и обратные без проблем рулю, но не на серых адресах. Возжелал в диком восторге, а давайте мне обратную зону для серых адресов , у райпа!

[LostSoul]

2 часа назад, YuryD сказал:

в яндексе я не подниму, как обратную.

я обратную зону упомянул как пример "нормальной практики" раздачи клиенту хостнеймов по умолчанию, с их перепрописыванием если клиенту надо.

 

[YuryD]

 Давайте упростим задачу для меня :) Есть например личный кабинет, доступ к которому для клиентов доступен без ната(cоотв и сервер и клиенты на серых адресах). Многие браузеры неохотно пускают по http, предлагая https. https требует сертификата - я правильно понял ? Самоподписный - опять будет сопровождаться матюками браузера на недостоверность. Выход - получать/покупать достоверный для сервера личного кабинета, который доступен только локально ? Или еще как, научите ?

 Про обратные зоны для серых адресов - мне эта идея неприятна, ибо будет грузить nameservers левыми запросами, практического значения этот обратный, как и прямой резолвинг не имеет для меня.

[Bushi]

В 02.10.2017 в 21:01, Brainiac сказал:

Юзаю https://www.sslforfree.com/.

Правда, раз в три месяца надо не забывать обновлять ключик, но зато халява.

Это и есть Let's Encrypt для тех, кто не смог освоить cerbot.

[Sergey Gilfanov]

3 часа назад, YuryD сказал:

Есть например личный кабинет, доступ к которому для клиентов доступен без ната(cоотв и сервер и клиенты на серых адресах). Многие браузеры неохотно пускают по http, предлагая https. https требует сертификата - я правильно понял ?

Не понимаю я таких желаний. Если для клиентов - то можно и нормальный взять. Они не настолько дорогие. Если цену размазать на всех этих клиентов - сколько получится?

[Черномазов]

YuryD 

Если совсем не хочется получать/покупать сертификат извне, можно развернуть свой центр сертификации и научить клиентов прописывать его в доверенные корневые.

 

Но, как было выше отмечено, не так уж сертификаты дороги, даже если для всего домена, а не одного только адреса ЛК.

[rm_]

16 минут назад, Черномазов сказал:

научить клиентов прописывать его в доверенные корневые.

Серьёзно? Массово, клиентов обычного провайдера? И потом получить полоскание вашего бренда на хабрах, тостерах и роем за "Началось -- дерпотелеком-Волга навязывает свой сертификат в доверенные Чтобы Митмовать Интернет"?