SSL, IIS, IP Publica

Albedo

Capo
Se incorporó
10 Noviembre 2011
Mensajes
223
Estimados,

Tengo un servidor con un servicio por intranet, ahora ultimo se pidió que fuera publico para usarlo remotamente, todo bien hasta que nos pidieron que tiene que tener un certificado digital. Se configura en IIS, pero al salir con la IP publica esta tomando como no seguro la dirección del router, debe ser donde esta haciendo el forwarding y apertura de puertos.

Se intento dejar con NO-IP aun así esta pescando la dirección del router como no seguro.
 

cliobrando

Capo
Se incorporó
6 Mayo 2021
Mensajes
220
Si instalaste un certificado, la URL por la que ingresas debe coincidir con el nombre del certificado, ej: si el certificado tiene el CN www.hola.cl e intentas ingresar por la IP, te va a mostrar sitio no seguro, si intentas ingresar por www.hola.com, te va a mostrar sitio no seguro.
 
Upvote 0

Cosme

Gold Member
Se incorporó
27 Febrero 2005
Mensajes
8.281
Estimados,

Tengo un servidor con un servicio por intranet, ahora ultimo se pidió que fuera publico para usarlo remotamente, todo bien hasta que nos pidieron que tiene que tener un certificado digital. Se configura en IIS, pero al salir con la IP publica esta tomando como no seguro la dirección del router, debe ser donde esta haciendo el forwarding y apertura de puertos.

Se intento dejar con NO-IP aun así esta pescando la dirección del router como no seguro.
pon un proxy con nginx y alli administra la capa ssl.

Hay una app para manejar nginx llamada "nginx proxy manager" que es muy fácil de usar.


necesitas natear el puerto 443 como mínimo para recibir las solicitudes entrantes, y con el puedes hacer los SSL via letsencript; incluso el software se encarga de la renovación de certificados de manera automática.
 
Upvote 0

Albedo

Capo
Se incorporó
10 Noviembre 2011
Mensajes
223
Si instalaste un certificado, la URL por la que ingresas debe coincidir con el nombre del certificado, ej: si el certificado tiene el CN www.hola.cl e intentas ingresar por la IP, te va a mostrar sitio no seguro, si intentas ingresar por www.hola.com, te va a mostrar sitio no seguro.
Si tengo eso, pero esta tomando como prioridad el router y me lo marca no seguro si reviso el certificado sale como ubiquiti.

Debe ser donde además de los puertos tengo la ip publicada para VPN.
 
Upvote 0

Albedo

Capo
Se incorporó
10 Noviembre 2011
Mensajes
223
pon un proxy con nginx y alli administra la capa ssl.

Hay una app para manejar nginx llamada "nginx proxy manager" que es muy fácil de usar.


necesitas natear el puerto 443 como mínimo para recibir las solicitudes entrantes, y con el puedes hacer los SSL via letsencript; incluso el software se encarga de la renovación de certificados de manera automática.
Mañana voy a probar, en la casa ya no quiero saber de pega.
 
Upvote 0

sr_meck

a.k.a chikogollo
REPORTERO
Se incorporó
14 Mayo 2004
Mensajes
6.519
Ahora son dos cosas distintas, primero el port-fordwarding donde le dices cuando el trafico venga a mi IP publica con un puerto, mando esta IP interna con este puerto y otra cosa es el tema del certificado digital para darle seguridad a la pagina.

Ip Publica:80 transformado a 192.168.100.100:443

eso debiese funcionar con o sin certificado y el resto ya es tema del certificado,.

Probablemente el puerto que inicia el port-fordarding esta siendo usado x el router prueba con otro por ejempo

Ip Publica:8080 transformado a 192.168.100.100:443

Por otro lado, si te aparece la pagina de Ubiquiti cuando le das la publica quiere decir que tienes habilitada la administración x la WAN que es una mala practica, deberías bajarla.
 
Upvote 0

browsons

Capo
Se incorporó
29 Noviembre 2005
Mensajes
268
Ubiquiti tenia que ser, si al ingresar la IP desde la publica te envía a ubiquiti es por que el forward esta mal hecho, como dicen tienes que validar que llegues al sitio primero, independiente de que el certificado sea valido o no.
 
Upvote 0

dwyer

Sonidista-Computin
Se incorporó
10 Mayo 2005
Mensajes
2.847
Cambia el puerto de administración del ubiquiti por ej 8443, con eso dejas el 443 libre para el servidor que necesitas se vea desde el exterior
 
Upvote 0

Cosme

Gold Member
Se incorporó
27 Febrero 2005
Mensajes
8.281
Cambia el puerto de administración del ubiquiti por ej 8443, con eso dejas el 443 libre para el servidor que necesitas se vea desde el exterior
Es raro porque las reglas de ubiquiti por default permiten acceder a los puertos de administración solo desde la LAN, y para acceder remotamente ofrecen un proxy reverso integrado que se activa al iniciar sesión con una cuenta de ubiquiti (gratuita)
 
Upvote 0

FinntrolL

Miembro Activo
Se incorporó
31 Mayo 2006
Mensajes
2
cambia el puerto de administracion del ubiquiti y usa url rewrite para forzar a que siempre ingresen por HTTPS a tu intranet
 
Upvote 0

dwyer

Sonidista-Computin
Se incorporó
10 Mayo 2005
Mensajes
2.847
Es raro porque las reglas de ubiquiti por default permiten acceder a los puertos de administración solo desde la LAN, y para acceder remotamente ofrecen un proxy reverso integrado que se activa al iniciar sesión con una cuenta de ubiquiti (gratuita)
Ah, nunca he usado ese ingreso para los edgerouer que me ha tocado manejar
Solo le cambio el puerto para no interferír con el servidor interno además de seguridad

ruleubnt.png
 
Upvote 0

Albedo

Capo
Se incorporó
10 Noviembre 2011
Mensajes
223
Ya logre que se vea lo que es el webhost con el certificado, ahora resulta que tenían un enlace al reporting service de sql 2012.

Esta todo alojado en el mismo servidor.

Ahora me sale este error:
1708033326448.png
 
Upvote 0
Subir