SSL, IIS, IP Publica

Albedo · 8 Febrero 2024

Estimados,

Tengo un servidor con un servicio por intranet, ahora ultimo se pidió que fuera publico para usarlo remotamente, todo bien hasta que nos pidieron que tiene que tener un certificado digital. Se configura en IIS, pero al salir con la IP publica esta tomando como no seguro la dirección del router, debe ser donde esta haciendo el forwarding y apertura de puertos.

Se intento dejar con NO-IP aun así esta pescando la dirección del router como no seguro.

cliobrando · 8 Febrero 2024

Si instalaste un certificado, la URL por la que ingresas debe coincidir con el nombre del certificado, ej: si el certificado tiene el CN www.hola.cl e intentas ingresar por la IP, te va a mostrar sitio no seguro, si intentas ingresar por www.hola.com, te va a mostrar sitio no seguro.

Cosme · 8 Febrero 2024

Albedo dijo:
Estimados,

Tengo un servidor con un servicio por intranet, ahora ultimo se pidió que fuera publico para usarlo remotamente, todo bien hasta que nos pidieron que tiene que tener un certificado digital. Se configura en IIS, pero al salir con la IP publica esta tomando como no seguro la dirección del router, debe ser donde esta haciendo el forwarding y apertura de puertos.

Se intento dejar con NO-IP aun así esta pescando la dirección del router como no seguro.

pon un proxy con nginx y alli administra la capa ssl.

Hay una app para manejar nginx llamada "nginx proxy manager" que es muy fácil de usar.

Nginx Proxy Manager

Docker container and built in Web Application for managing Nginx proxy hosts with a simple, powerful interface, providing free SSL support via Let's Encrypt

nginxproxymanager.com

necesitas natear el puerto 443 como mínimo para recibir las solicitudes entrantes, y con el puedes hacer los SSL via letsencript; incluso el software se encarga de la renovación de certificados de manera automática.

Albedo · 8 Febrero 2024

cliobrando dijo:
Si instalaste un certificado, la URL por la que ingresas debe coincidir con el nombre del certificado, ej: si el certificado tiene el CN www.hola.cl e intentas ingresar por la IP, te va a mostrar sitio no seguro, si intentas ingresar por www.hola.com, te va a mostrar sitio no seguro.

Si tengo eso, pero esta tomando como prioridad el router y me lo marca no seguro si reviso el certificado sale como ubiquiti.

Debe ser donde además de los puertos tengo la ip publicada para VPN.

Albedo · 8 Febrero 2024

Cosme dijo:
pon un proxy con nginx y alli administra la capa ssl.

Hay una app para manejar nginx llamada "nginx proxy manager" que es muy fácil de usar.

Nginx Proxy Manager

Docker container and built in Web Application for managing Nginx proxy hosts with a simple, powerful interface, providing free SSL support via Let's Encrypt

nginxproxymanager.com

necesitas natear el puerto 443 como mínimo para recibir las solicitudes entrantes, y con el puedes hacer los SSL via letsencript; incluso el software se encarga de la renovación de certificados de manera automática.

Mañana voy a probar, en la casa ya no quiero saber de pega.

sr_meck · 8 Febrero 2024

Ahora son dos cosas distintas, primero el port-fordwarding donde le dices cuando el trafico venga a mi IP publica con un puerto, mando esta IP interna con este puerto y otra cosa es el tema del certificado digital para darle seguridad a la pagina.

Ip Publica:80 transformado a 192.168.100.100:443

eso debiese funcionar con o sin certificado y el resto ya es tema del certificado,.

Probablemente el puerto que inicia el port-fordarding esta siendo usado x el router prueba con otro por ejempo

Ip Publica:8080 transformado a 192.168.100.100:443

Por otro lado, si te aparece la pagina de Ubiquiti cuando le das la publica quiere decir que tienes habilitada la administración x la WAN que es una mala practica, deberías bajarla.

browsons · 9 Febrero 2024

Ubiquiti tenia que ser, si al ingresar la IP desde la publica te envía a ubiquiti es por que el forward esta mal hecho, como dicen tienes que validar que llegues al sitio primero, independiente de que el certificado sea valido o no.

dwyer · 9 Febrero 2024

Cambia el puerto de administración del ubiquiti por ej 8443, con eso dejas el 443 libre para el servidor que necesitas se vea desde el exterior

Cosme · 9 Febrero 2024

dwyer dijo:
Cambia el puerto de administración del ubiquiti por ej 8443, con eso dejas el 443 libre para el servidor que necesitas se vea desde el exterior

Es raro porque las reglas de ubiquiti por default permiten acceder a los puertos de administración solo desde la LAN, y para acceder remotamente ofrecen un proxy reverso integrado que se activa al iniciar sesión con una cuenta de ubiquiti (gratuita)

FinntrolL · 9 Febrero 2024

cambia el puerto de administracion del ubiquiti y usa url rewrite para forzar a que siempre ingresen por HTTPS a tu intranet

dwyer · 9 Febrero 2024

Cosme dijo:
Es raro porque las reglas de ubiquiti por default permiten acceder a los puertos de administración solo desde la LAN, y para acceder remotamente ofrecen un proxy reverso integrado que se activa al iniciar sesión con una cuenta de ubiquiti (gratuita)

Ah, nunca he usado ese ingreso para los edgerouer que me ha tocado manejar
Solo le cambio el puerto para no interferír con el servidor interno además de seguridad

Albedo · 15 Febrero 2024

Ya logre que se vea lo que es el webhost con el certificado, ahora resulta que tenían un enlace al reporting service de sql 2012.

Esta todo alojado en el mismo servidor.

Ahora me sale este error:

SSL, IIS, IP Publica

Albedo

Capo

cliobrando

Capo

Cosme

Gold Member

Nginx Proxy Manager

Albedo

Capo

Albedo

Capo

Nginx Proxy Manager

sr_meck

a.k.a chikogollo

browsons

Capo

dwyer

Sonidista-Computin

Cosme

Gold Member

FinntrolL

Miembro Activo

dwyer

Sonidista-Computin

Albedo

Capo