1 Temat przez krynio

  • krynio
  • Użytkownik
  • Nieaktywny
  • Zarejestrowany: 2012-05-02
  • Posty: 909

Temat: Darmowy certyfikat dla HTTPS

Witam.

Mam LEDE, Uhttpd, dynamiczny dns, odpowiednie przekierowania w firewall zrobione. Działa dostęp do strony www od strony wan na porcie 80 i 443.

Robię zgodnie z poradnikiem zaczynając od opkg install acme ca-certificates socat
Przy czym za pierwszym razem bezmyślnie skopiowałem Twoją domenę uci set acme.example.domains='host.ddns.net' i naturalnie nie zadziałało.

Zorientowałem się powtórzyłem czynności tym razem poprawnie uci set acme.example.domains='zone.flnet.org' lecz w /etc/acme otrzymuje katalog o nazwie zone.flnet.org.failed-1511025505 a w nim tylko plik zone.flnet.org.conf z zawartością poniżej.

Le_Domain='zone.flnet.org'
Le_Alt='no'
Le_Webroot='no'
Le_PreHook=''
Le_PostHook=''
Le_RenewHook=''
Le_API='https://acme-v01.api.letsencrypt.org'

Odinstalowałem acme ca-certificates socat, skasowałem ręcznie config /etc/acme oraz /etc/config/acme
reboot i ponowiłem instalację od nowa i nadal mam ten sam błąd.

Czyżby przez to że za pierwszym razem błędnie próbowałem zrobić to dla host.ddns.net zablokowałem możliwość wygenerowania certyfikatu na jakiś czas?

Druga sprawa czy poradniku w tym miejscu:
I to już koniec konfiguracji. Uruchamiamy generowanie:

# /etc/init.d/uhttpd stop
# /etc/init.d/acme start

Zamiast  # /etc/init.d/uhttpd stop nie powinno być  # /etc/init.d/uhttpd start ?

TP-Link TL-WDR4300 Mod, CPU 700MHz, Flash 16 MB, Gargoyle 1.5.11.4, extroot + dysk zewnętrzny Samsung (S2), kamerka MS LifeCam HD-5000
TP-Link TL-WR1043ND Mod, RAM 64 MB, chłodzenie pasywne, Gargoyle 1.5.10.14, extroot, kamerka Logitech HD Webcam C270

2 Odpowiedź przez Cezary

  • Skąd: Warszawa
  • Zarejestrowany: 2006-02-25
  • Posty: 106,385

Odp: Darmowy certyfikat dla HTTPS

Jest dobrze. Jak masz uruchomiony uhttpd nasłuchujący na 80 to acme nie jest w stanie uruchomić swojego procesu i tym samym nie wykona się autoryzacja. Więc uhttpd ma zostać wyłączony.

Możesz robić to ile chcesz - ale patrz w logi co się dzieje. Dość dużo informacji tam się odkłada.

Masz niepotrzebny router, uszkodzony czy nie - chętnie przygarnę go.

Cezary's Strona

3 Odpowiedź przez krynio (edytowany przez krynio 2017-11-18 20:05:00)

  • krynio
  • Użytkownik
  • Nieaktywny
  • Zarejestrowany: 2012-05-02
  • Posty: 909

Odp: Darmowy certyfikat dla HTTPS

Config uhttpd mam taki

config uhttpd 'main'
    list listen_https '0.0.0.0:2000'
    list listen_https '[::]:2000'
    option redirect_https '1'
    option home '/www'
    option rfc1918_filter '1'
    option max_requests '3'
    option max_connections '100'
    option cert '/etc/uhttpd.crt'
    option key '/etc/uhttpd.key'
    option cgi_prefix '/cgi-bin'
    option script_timeout '60'
    option network_timeout '30'
    option http_keepalive '20'
    option tcp_keepalive '1'
    option ubus_prefix '/ubus'
    option listen_http '0.0.0.0:1000 [::]:1000'

config uhttpd 'secondary'
    list listen_http '0.0.0.0:80'
    list listen_https '0.0.0.0:443'
    option home '/www_strona'
    option cert '/etc/uhttpd.crt'
    option key '/etc/uhttpd.key'

config cert 'defaults'
    option days '730'
    option bits '2048'
    option country 'ZZ'
    option state 'Somewhere'
    option location 'Unknown'
    option commonname 'LEDE'

Czyli logowanie do Luci na portach 1000 po http i 2000 po https
A do katalogu www_strona gdzie mam stronę www http 80 i https 443
Nie bardzo rozumiem co mam zmienić.

Edycja.

Fakt w logach jest

tcp        0      0 0.0.0.0:80              0.0.0.0:*               LISTEN      2456/uhttpd
Sat Nov 18 18:18:25 2017 daemon.err run-acme[2542]: tcp port 80 is already used by 
Sat Nov 18 18:18:25 2017 daemon.err run-acme[2542]: Please stop it first
Sat Nov 18 18:18:25 2017 daemon.err run-acme[2542]: _on_before_issue.
TP-Link TL-WDR4300 Mod, CPU 700MHz, Flash 16 MB, Gargoyle 1.5.11.4, extroot + dysk zewnętrzny Samsung (S2), kamerka MS LifeCam HD-5000
TP-Link TL-WR1043ND Mod, RAM 64 MB, chłodzenie pasywne, Gargoyle 1.5.10.14, extroot, kamerka Logitech HD Webcam C270

4 Odpowiedź przez Cezary

  • Skąd: Warszawa
  • Zarejestrowany: 2006-02-25
  • Posty: 106,385

Odp: Darmowy certyfikat dla HTTPS

Nic, po prostu wyłącz uhttpd, uruchom acme a później patrz w logi.

Masz niepotrzebny router, uszkodzony czy nie - chętnie przygarnę go.

Cezary's Strona

5 Odpowiedź przez DarioX7

  • Skąd: Koło Wojnicza
  • Zarejestrowany: 2012-05-19
  • Posty: 543

Odp: Darmowy certyfikat dla HTTPS

Ten pakiet acme nie występuje w repozytorium openwrt ?

Topton Intel Core i3-N305 16GB RAM 6x i226-V 2.5GbE
Turris Omnia 2GB
D-LINK DIR3060
WR1043ND

6 Odpowiedź przez Cezary

  • Skąd: Warszawa
  • Zarejestrowany: 2006-02-25
  • Posty: 106,385

Odp: Darmowy certyfikat dla HTTPS

DarioX7 napisał/a:

Ten pakiet acme nie występuje w repozytorium openwrt ?

Nic nie stroi na przeszkodzie żebyś na CC zrobił sobie wszystko ręcznie: https://github.com/Neilpang/acme.sh/wik … on-OpenWRT

Masz niepotrzebny router, uszkodzony czy nie - chętnie przygarnę go.

Cezary's Strona

7 Odpowiedź przez DarioX7

  • Skąd: Koło Wojnicza
  • Zarejestrowany: 2012-05-19
  • Posty: 543

Odp: Darmowy certyfikat dla HTTPS

Cezary napisał/a:
DarioX7 napisał/a:

Ten pakiet acme nie występuje w repozytorium openwrt ?

Nic nie stroi na przeszkodzie żebyś na CC zrobił sobie wszystko ręcznie: https://github.com/Neilpang/acme.sh/wik … on-OpenWRT

Widzę że ktoś już to wykorzystał https://www.turris.cz/doc/en/public/let … s_lighttpd

Topton Intel Core i3-N305 16GB RAM 6x i226-V 2.5GbE
Turris Omnia 2GB
D-LINK DIR3060
WR1043ND

8 Odpowiedź przez krynio (edytowany przez krynio 2017-11-27 01:06:53)

  • krynio
  • Użytkownik
  • Nieaktywny
  • Zarejestrowany: 2012-05-02
  • Posty: 909

Odp: Darmowy certyfikat dla HTTPS

Działa dziękuję. Może ktoś napotka podobny problem, więc się trochę rozpiszę. U mnie wykonanie /etc/init.d/uhttpd stop nie wystarczało. Cały czas w logach pokazywało że port 80 jest już zajęty. Ostatecznie chwilowo zmieniłem port 80 na 3000 i następnie /etc/init.d/acme start po czym wszystko wygenerowało się pozytywnie. Następnie wróciłem do portu 80. Ostatecznie mój /etc/config/uhttpd wygląda tak:

config uhttpd 'main'
    option listen_http '0.0.0.0:1000 [::]:1000'
    option listen_https '0.0.0.0:2000 [::]:2000'
    option redirect_https '1'
    option home '/www'
    option rfc1918_filter '1'
    option max_requests '3'
    option max_connections '100'
    option cert '/etc/acme/zone.flnet.org/fullchain.cer'
    option key '/etc/acme/zone.flnet.org/zone.flnet.org.key'
    option cgi_prefix '/cgi-bin'
    option script_timeout '60'
    option network_timeout '30'
    option http_keepalive '20'
    option tcp_keepalive '1'
    option ubus_prefix '/ubus'

config uhttpd 'secondary'
    option listen_http '0.0.0.0:80 [::]:80'
    option listen_https '0.0.0.0:443 [::]:443'
    option redirect_https '1'
    option home '/www_strona'
    option cert '/etc/acme/zone.flnet.org/fullchain.cer'
    option key '/etc/acme/zone.flnet.org/zone.flnet.org.key'

config cert 'defaults'
    option days '730'
    option bits '2048'
    option country 'ZZ'
    option state 'Somewhere'
    option location 'Unknown'
    option commonname 'LEDE'

Mam jeszcze pytania.
1. Można na jednym routerze wygenerować klika darmowych certyfikatów dla kilku domen które posiadam?

2. Automatyczne Odnowienie certyfikatu - cron.
Jeśli zrobię 0 0 1 * * /etc/init.d/acme start to próba certyfikatu będzie wykonywana cyklicznie co miesiąc począwszy od dziś tj. 18.11.2017? Wcześniej piszesz że najwcześniej można odnowić miesiąc przed wygaśnięciem certyfikatu więc, wygenerowanie certyfikatu za miesiąc nie będzie skuteczne?

3. Jak certyfikat Let's Encrypt zastosować do Lighttpd. Wystarczy że zrobię
# uci set acme.example.update_lighttpd='1'
i odpowiedni wpis sam się doda do /etc/lighttpd/lighttpd.conf

Czy może należy ręcznie zmodyfikować  /etc/lighttpd/lighttpd.conf
obecnie ma to

$SERVER["socket"] == "0.0.0.0:443" { 
    ssl.engine = "enable"
        ssl.pemfile = "/etc/lighttpd/server.pem"
TP-Link TL-WDR4300 Mod, CPU 700MHz, Flash 16 MB, Gargoyle 1.5.11.4, extroot + dysk zewnętrzny Samsung (S2), kamerka MS LifeCam HD-5000
TP-Link TL-WR1043ND Mod, RAM 64 MB, chłodzenie pasywne, Gargoyle 1.5.10.14, extroot, kamerka Logitech HD Webcam C270

9 Odpowiedź przez Cezary

  • Skąd: Warszawa
  • Zarejestrowany: 2006-02-25
  • Posty: 106,385

Odp: Darmowy certyfikat dla HTTPS

1. O ile ten router obsługuje te domeny to tak.
2. Po prostu się nie odnowi. Zrobi to za dwa miesiące. Ważne po prostu żebyś to zrobił przed kompletnym wygaśnięciem certyfikatu, możesz to nawet zrobić ostatniego dnia.
3. https://github.com/galeone/letsencrypt-lighttpd

Działa, dl.eko.one.pl na lighttpd właśnie stoi i ma letsencrypt.

Masz niepotrzebny router, uszkodzony czy nie - chętnie przygarnę go.

Cezary's Strona

10 Odpowiedź przez krynio

  • krynio
  • Użytkownik
  • Nieaktywny
  • Zarejestrowany: 2012-05-02
  • Posty: 909

Odp: Darmowy certyfikat dla HTTPS

Problem z konfiguracją Lighttpd na LEDE. Powiedzmy że jest to trochę powiązane z tematem więc tu podpiąłem pytanie.

Na Openwrt CC miałem już sprawdzony działający konfig. Na Lede mam problemy. Wywala błąd:

2017-12-11 23:03:31: (plugin.c.187) Cannot load plugin mod_fastcgi more than once, please fix your config (lighttpd may not accept such configs in future releases)
2017-12-11 23:03:31: (plugin.c.227) dlopen() failed for: /usr/lib/lighttpd/mod_authn_file.so Error loading shared library /usr/lib/lighttpd/mod_authn_file.so: No such file or directory
2017-12-11 23:03:31: (server.c.911) loading plugins finally failed

Mój konfig (trochę w nim bałagan)

# lighttpd configuration file
# 
## modules to load
# all other module should only be loaded if really neccesary
# - saves some time
# - saves memory
server.modules = ( 
#    "mod_rewrite", 
#    "mod_redirect", 
#    "mod_alias", 
    "mod_auth", 
#    "mod_status", 
#    "mod_setenv",
    "mod_fastcgi",
#    "mod_proxy",
#    "mod_simple_vhost",
#    "mod_cgi",
#    "mod_ssi",
#    "mod_usertrack",
#    "mod_expire",
#    "mod_webdav"
)

# force use of the "write" backend (closes: #2401)
server.network-backend = "write"

## a static document-root, for virtual-hosting take look at the 
## server.virtual-* options
server.document-root = "/mnt/sda1/www"

#dir-listing.encoding = "utf-8"

## where to send error-messages to
server.errorlog = "/tmp/log/lighttpd/error.log"

## files to check for if .../ is requested
index-file.names = ( "index.html", "default.html", "index.htm", "default.htm", "index.php", "index.lighttpd.html" )

## Use the "Content-Type" extended attribute to obtain mime type if possible
#mimetypes.use-xattr = "enable"

## send a different Server: header
## be nice and keep it at lighttpd
#server.tag = "lighttpd"

$HTTP["url"] =~ "\.pdf$" {
    server.range-requests = "disable"
}

##
# which extensions should not be handle via static-file transfer
#
# .php, .pl, .fcgi are most often handled by mod_fastcgi or mod_cgi
static-file.exclude-extensions = ( ".php", ".pl", ".fcgi" )

######### Options that are good to be but not neccesary to be changed #######

## bind to port (default: 80)
server.port = 80

## bind to localhost (default: all interfaces)
#server.bind = "localhost"

## error-handler for status 404
#server.error-handler-404 = "/error-handler.html"
#server.error-handler-404 = "/error-handler.php"

## to help the rc.scripts
server.pid-file = "/var/run/lighttpd.pid"


###### virtual hosts
##
##   If you want name-based virtual hosting add the next three settings and load
##   mod_simple_vhost
##
## document-root =
##   virtual-server-root + virtual-server-default-host + virtual-server-docroot or
##   virtual-server-root + http-host + virtual-server-docroot
##
#simple-vhost.server-root = "/home/weigon/wwwroot/servers/"
#simple-vhost.default-host = "grisu.home.kneschke.de"
#simple-vhost.document-root = "/pages/"


## 
## Format: <errorfile-prefix><status>.html
## -> ..../status-404.html for 'File not found'
#server.errorfile-prefix = "/www/error-"

## virtual directory listings
server.dir-listing = "enable"

## send unhandled HTTP-header headers to error-log
#debug.dump-unknown-headers = "enable"

### only root can use these options
#
# chroot() to directory (default: no chroot() )
#server.chroot = "/"

## change uid to <uid> (default: don't care)
#server.username = "nobody"
#
server.upload-dirs = ( "/tmp" )

## change uid to <uid> (default: don't care)
#server.groupname = "nobody"

#### compress module
#compress.cache-dir          = "/dev/null/"
#compress.filetype           = ("text/plain", "text/html")

#### proxy module
## read proxy.txt for more info
#proxy.server = (
#    ".php" => (
#        "localhost" => (
#            "host" => "192.168.0.101",
#            "port" => 80
#        )
#    )
#)

#### fastcgi module
#fastcgi.debug = 1
fastcgi.server = (
      ".php" => ((
                  "host" => "127.0.0.1",
                  "port" => 1026,
          #"bin-path" => "/usr/bin/php-cgi",
          #"bin-path" => "/usr/bin/php-fcgi",    # wydaje sie ok
    "check-local" => "enable",
    #"max-procs" => 2,    # 4 default value, 1 lub 2 wydaje sie ok
    #"bin-environment" => ( 
    #"PHP_FCGI_CHILDREN" => "20",    # 1 default value, 50 wydaje sie ok
    #"PHP_FCGI_MAX_REQUESTS" => "100"    # 500 wydaje sie ok
    #),
                ))
)

                                  
#### CGI module
#cgi.assign = ( ".pl"  => "/usr/bin/perl", ".cgi" => "/usr/bin/perl" )
#cgi.assign = (".php" => "/usr/bin/php-cgi")
#cgi.fix_pathinfo=1

#### SSL engine

#$SERVER["socket"] == "0.0.0.0:443" { 
#    ssl.engine = "enable"
#        ssl.pemfile = "/etc/lighttpd/server.pem"
#}
                

#### status module
#status.status-url = "/server-status"
#status.config-url = "/server-config"

#### auth module
## read authentification.txt for more info
#auth.backend = "plain"
#auth.backend.plain.userfile = "lighttpd.user"
#auth.backend.plain.groupfile = "lighttpd.group"
#auth.require = (
#    "/server-status" => ( 
#        "method"  => "digest",
#        "realm"   => "download archiv",
#        "require" => "group=www|user=jan|host=192.168.2.1"
#    ),
#    "/server-info" => ( 
#        "method"  => "digest",
#        "realm"   => "download archiv",
#        "require" => "group=www|user=jan|host=192.168.2.1"
#    )
#)

auth.debug = 2
auth.backend = "plain"
auth.backend.plain.userfile = "/etc/lighttpd/users1"
auth.require = ( "/osobiste/" =>
    (
        "method" => "basic",
        "realm" => "Oj, nie ma tu dostepu. Podaj haslo!",
        "require" => "valid-user"
    ),

"/yaaw/" =>
    (
        "method" => "basic",
        "realm" => "Oj, nie ma tu dostepu. Podaj haslo!",
        "require" => "valid-user"
    )
)

#### url handling modules (rewrite, redirect, access)
#url.rewrite = ( "^/$" => "/server-status" )
#url.redirect = ( "^/wishlist/(.+)" => "http://www.123.org/$1" )

#### both rewrite/redirect support back reference to regex conditional using %n
#$HTTP["host"] =~ "^www\.(.*)" {
#    url.redirect = ( "^/(.*)" => "http://%1/$1" )
#}

#### expire module
#expire.url = ( "/buggy/" => "access 2 hours", "/asdhas/" => "access plus 1 seconds 2 minutes")

#### ssi
#ssi.extension = ( ".shtml" )

#### setenv
#setenv.add-request-header  = ( "TRAV_ENV" => "mysql://user@host/db" )
#setenv.add-response-header = ( "X-Secret-Message" => "42" )

#### variable usage:
## variable name without "." is auto prefixed by "var." and becomes "var.bar"
#bar = 1
#var.mystring = "foo"

## integer add
#bar += 1
## string concat, with integer cast as string, result: "www.foo1.com"
#server.name = "www." + mystring + var.bar + ".com"
## array merge
#index-file.names = (foo + ".php") + index-file.names
#index-file.names += (foo + ".php")

#### include
include "/etc/lighttpd/mime.conf"

#include /etc/lighttpd/lighttpd-inc.conf
## same as above if you run: "lighttpd -f /etc/lighttpd/lighttpd.conf"
#include "lighttpd-inc.conf"

#### include_shell
include_shell "cat /etc/lighttpd/conf.d/*.conf"

#include_shell "echo var.a=1"
## the above is same as:
#var.a=1

#### webdav
#$HTTP["url"] =~ "^/webdav($|/)" {
# webdav.activate = "enable"
# webdav.is-readonly = "enable"
# webdav.sqlite-db-name = "/var/run/lighttpd-webdav-lock.db"
#}
TP-Link TL-WDR4300 Mod, CPU 700MHz, Flash 16 MB, Gargoyle 1.5.11.4, extroot + dysk zewnętrzny Samsung (S2), kamerka MS LifeCam HD-5000
TP-Link TL-WR1043ND Mod, RAM 64 MB, chłodzenie pasywne, Gargoyle 1.5.10.14, extroot, kamerka Logitech HD Webcam C270

11 Odpowiedź przez Cezary

  • Skąd: Warszawa
  • Zarejestrowany: 2006-02-25
  • Posty: 106,385

Odp: Darmowy certyfikat dla HTTPS

No właśnie przez bezmyślnie kopiowanie to masz. W LEDE konfigi modułów są w oddzielnym katalogu  /etc/lighttpd/conf.d/ który ty w konfigu includujesz, wiec nie ma potrzeby abyś wymieniał je ponownie w server.modules. Zakomentuj to.

Co do drugiego - jest albo mod_auth albo mod_authn_file, nie ma czegoś takiego jak mod_auth. Jak napisałeś wyżej - zakomentuj moduły w sekcji server.modules.

Masz niepotrzebny router, uszkodzony czy nie - chętnie przygarnę go.

Cezary's Strona

12 Odpowiedź przez krynio

  • krynio
  • Użytkownik
  • Nieaktywny
  • Zarejestrowany: 2012-05-02
  • Posty: 909

Odp: Darmowy certyfikat dla HTTPS

Cezary napisał/a:

No właśnie przez bezmyślnie kopiowanie to masz. W LEDE konfigi modułów są w oddzielnym katalogu  /etc/lighttpd/conf.d/ który ty w konfigu includujesz, wiec nie ma potrzeby abyś wymieniał je ponownie w server.modules. Zakomentuj to.

To poprawiłem.

Cezary napisał/a:

Co do drugiego - jest albo mod_auth albo mod_authn_file, nie ma czegoś takiego jak mod_auth. Jak napisałeś wyżej - zakomentuj moduły w sekcji server.modules.

Z tym grubsza sprawa. Jak zakomentuje #mod_auth serwer działa. Jak odkomentuje mod_auth lub mod_authn_file za każdym razem dostaję:

2017-12-12 16:38:36: (plugin.c.227) dlopen() failed for: /usr/lib/lighttpd/mod_authn_file.so Error loading shared library /usr/lib/lighttpd/mod_authn_file.so: No such file or directory
2017-12-12 16:38:36: (server.c.911) loading plugins finally failed

Problem w tym że nie mam w /usr/lib/lighttpd pliku mod_authn_file.so a mam mod_auth.so

Tutaj piszą o tym problemie w Lede https://github.com/openwrt/packages/issues/3502
Temat z listopada 2016 pytanie cz zostało to naprawione, czy ja dalej coś źle robie?.

TP-Link TL-WDR4300 Mod, CPU 700MHz, Flash 16 MB, Gargoyle 1.5.11.4, extroot + dysk zewnętrzny Samsung (S2), kamerka MS LifeCam HD-5000
TP-Link TL-WR1043ND Mod, RAM 64 MB, chłodzenie pasywne, Gargoyle 1.5.10.14, extroot, kamerka Logitech HD Webcam C270

13 Odpowiedź przez Cezary

  • Skąd: Warszawa
  • Zarejestrowany: 2006-02-25
  • Posty: 106,385

Odp: Darmowy certyfikat dla HTTPS

Więc zainstaluj moduły po prostu bo może nie masz zainstalowanych.

Masz niepotrzebny router, uszkodzony czy nie - chętnie przygarnę go.

Cezary's Strona

14 Odpowiedź przez krynio

  • krynio
  • Użytkownik
  • Nieaktywny
  • Zarejestrowany: 2012-05-02
  • Posty: 909

Odp: Darmowy certyfikat dla HTTPS

Cezary napisał/a:

Więc zainstaluj moduły po prostu bo może nie masz zainstalowanych.

Mam zainstalowane lighttpd-mod-auth - 1.4.45-3, czy coś poza jest potrzebne do autoryzacji?

TP-Link TL-WDR4300 Mod, CPU 700MHz, Flash 16 MB, Gargoyle 1.5.11.4, extroot + dysk zewnętrzny Samsung (S2), kamerka MS LifeCam HD-5000
TP-Link TL-WR1043ND Mod, RAM 64 MB, chłodzenie pasywne, Gargoyle 1.5.10.14, extroot, kamerka Logitech HD Webcam C270

15 Odpowiedź przez Cezary

  • Skąd: Warszawa
  • Zarejestrowany: 2006-02-25
  • Posty: 106,385

Odp: Darmowy certyfikat dla HTTPS

Ale kombinujesz. Skoro masz mod-auth to po co włączasz w konfigu mod_authn_file bez jego instalacji?

Masz niepotrzebny router, uszkodzony czy nie - chętnie przygarnę go.

Cezary's Strona

16 Odpowiedź przez krynio

  • krynio
  • Użytkownik
  • Nieaktywny
  • Zarejestrowany: 2012-05-02
  • Posty: 909

Odp: Darmowy certyfikat dla HTTPS

Cezary z całym szacunkiem ale nie włączam mod_authn_file tylko mod-auth zobacz na mój post 10 który nie edytowałem.
Natomiast później np. w poście 12 fakt zacząłem kombinować ponieważ nie działało.
Ostatecznie udało się i działa.
Musiałem doinstalować lighttpd-mod-authn_file a w /etc/lighttpd/lighttpd.conf mam tak jak miałem:

server.modules = ( 
"mod_auth",

Zauważ że w CC nie trzeba było instalować lighttpd-mod-authn_file

TP-Link TL-WDR4300 Mod, CPU 700MHz, Flash 16 MB, Gargoyle 1.5.11.4, extroot + dysk zewnętrzny Samsung (S2), kamerka MS LifeCam HD-5000
TP-Link TL-WR1043ND Mod, RAM 64 MB, chłodzenie pasywne, Gargoyle 1.5.10.14, extroot, kamerka Logitech HD Webcam C270

17 Odpowiedź przez Cezary

  • Skąd: Warszawa
  • Zarejestrowany: 2006-02-25
  • Posty: 106,385

Odp: Darmowy certyfikat dla HTTPS

Z całym szacunkiem:

Jak odkomentuje mod_auth lub mod_authn_file za każdym razem dostaję:

2017-12-12 16:38:36: (plugin.c.227) dlopen() failed for: /usr/lib/lighttpd/mod_authn_file.so Error loading shared library /usr/lib/lighttpd/mod_authn_file.so: No such file or directory
2017-12-12 16:38:36: (server.c.911) loading plugins finally failed

Sam to napisałeś, więc tak, włączyłeś moduł bez jego instalacji. Dostałeś radę żebyś zainstalował brakujące moduły co zrobiłeś dopiero teraz.

CC to CC. Czemu sądziłeś że nic się nie zmieniło i nie zaktualizowało w stosunku do wersji sprzed 2 lat?

Masz niepotrzebny router, uszkodzony czy nie - chętnie przygarnę go.

Cezary's Strona

18 Odpowiedź przez krynio

  • krynio
  • Użytkownik
  • Nieaktywny
  • Zarejestrowany: 2012-05-02
  • Posty: 909

Odp: Darmowy certyfikat dla HTTPS

Podsumowując. Oczywiste jest że naprowadziłeś mnie czy przypadkiem nie brakuje mi jakiegoś modułu. Zacząłem googlować co przyniosło skutek. Byłem przekonany że moduł lighttpd-mod-auth wystarczy jak w CC, co okazało się błędem.

Dobrej nocy, wstaję po 5 tej roll

TP-Link TL-WDR4300 Mod, CPU 700MHz, Flash 16 MB, Gargoyle 1.5.11.4, extroot + dysk zewnętrzny Samsung (S2), kamerka MS LifeCam HD-5000
TP-Link TL-WR1043ND Mod, RAM 64 MB, chłodzenie pasywne, Gargoyle 1.5.10.14, extroot, kamerka Logitech HD Webcam C270

19 Odpowiedź przez krynio

  • krynio
  • Użytkownik
  • Nieaktywny
  • Zarejestrowany: 2012-05-02
  • Posty: 909

Odp: Darmowy certyfikat dla HTTPS

Problem z automatyzacją odnawiania certyfikatu

W cron mam odnawianie cyklicznie co miesiąc, lecz nie działa?:

0 0 1 * * /etc/init.d/acme start

Z ręki wykonane to samo polecenie i działa.

Nie wiem czy problem jest po stronie błędnego okresu odnawiania? czy może po samym działaniu cron. Pytam o cron ponieważ mam czyste LEDE i w /etc/crontabs nie było pliku root więc go utworzyłem i wpisałem polecenia do wykonania które potrzebuję.
Potem jak w poradniku:
# /etc/init.d/cron restart
# /etc/init.d/cron enable
# /etc/init.d/cron start

TP-Link TL-WDR4300 Mod, CPU 700MHz, Flash 16 MB, Gargoyle 1.5.11.4, extroot + dysk zewnętrzny Samsung (S2), kamerka MS LifeCam HD-5000
TP-Link TL-WR1043ND Mod, RAM 64 MB, chłodzenie pasywne, Gargoyle 1.5.10.14, extroot, kamerka Logitech HD Webcam C270

20 Odpowiedź przez Cezary

  • Skąd: Warszawa
  • Zarejestrowany: 2006-02-25
  • Posty: 106,385

Odp: Darmowy certyfikat dla HTTPS

Tak się nie dowiemy. W configu jest opcja od debugu, więc włącz i poczekaj za miesiąc żeby sprawdzić. Albo usuń pliki z certyfikatami i niech się samo wykona np. jutro.

Masz niepotrzebny router, uszkodzony czy nie - chętnie przygarnę go.

Cezary's Strona

21 Odpowiedź przez krynio

  • krynio
  • Użytkownik
  • Nieaktywny
  • Zarejestrowany: 2012-05-02
  • Posty: 909

Odp: Darmowy certyfikat dla HTTPS

Masz na myśli /etc/config/acme

config acme
    option debug '1'

TP-Link TL-WDR4300 Mod, CPU 700MHz, Flash 16 MB, Gargoyle 1.5.11.4, extroot + dysk zewnętrzny Samsung (S2), kamerka MS LifeCam HD-5000
TP-Link TL-WR1043ND Mod, RAM 64 MB, chłodzenie pasywne, Gargoyle 1.5.10.14, extroot, kamerka Logitech HD Webcam C270

22 Odpowiedź przez Cezary

  • Skąd: Warszawa
  • Zarejestrowany: 2006-02-25
  • Posty: 106,385

Odp: Darmowy certyfikat dla HTTPS

Tak.

w logach w ogóle miałeś info że wywołał program?

Masz niepotrzebny router, uszkodzony czy nie - chętnie przygarnę go.

Cezary's Strona

23 Odpowiedź przez krynio

  • krynio
  • Użytkownik
  • Nieaktywny
  • Zarejestrowany: 2012-05-02
  • Posty: 909

Odp: Darmowy certyfikat dla HTTPS

Plik z logiem powinien być tutaj /tmp/log jaka jego nazwa?
Pewnie teraz go nie będzie bo jestem po reboocie, ale chciałbym wiedzieć gdzie i jakiego pliku szukać.

TP-Link TL-WDR4300 Mod, CPU 700MHz, Flash 16 MB, Gargoyle 1.5.11.4, extroot + dysk zewnętrzny Samsung (S2), kamerka MS LifeCam HD-5000
TP-Link TL-WR1043ND Mod, RAM 64 MB, chłodzenie pasywne, Gargoyle 1.5.10.14, extroot, kamerka Logitech HD Webcam C270

24 Odpowiedź przez Cezary

  • Skąd: Warszawa
  • Zarejestrowany: 2006-02-25
  • Posty: 106,385

Odp: Darmowy certyfikat dla HTTPS

logread daje logi. OpenWrt domyślnie nie robi logów w /tmp/log, o ile sam tak mu nie powiesz.

Masz niepotrzebny router, uszkodzony czy nie - chętnie przygarnę go.

Cezary's Strona

25 Odpowiedź przez krynio

  • krynio
  • Użytkownik
  • Nieaktywny
  • Zarejestrowany: 2012-05-02
  • Posty: 909

Odp: Darmowy certyfikat dla HTTPS

Generuje certyfikaty SSL za pomocą letsencrypt co prawda na raspberry pi, nginx proxy manager.
Ale moje pytanie i rozwiązanie także może być na openwrt.

Na na raspberry pi domyślnie generuje mi się Certificate #1: EC 384 bits (SHA256withRSA)
A kiedyś miałem Certificate #1: RSA 4096 bits (SHA256withRSA).

Niestety z tym certyfikatem EC 384 bits są problemy na starszych urządzeniach, przeglądarkach.
Natomiast RSA 4096 bits działa wszędzie poprawnie.

Jak na openwrt zmusić wygenerowanie certyfikatu ssl RSA 4096 bits (SHA256withRSA).

TP-Link TL-WDR4300 Mod, CPU 700MHz, Flash 16 MB, Gargoyle 1.5.11.4, extroot + dysk zewnętrzny Samsung (S2), kamerka MS LifeCam HD-5000
TP-Link TL-WR1043ND Mod, RAM 64 MB, chłodzenie pasywne, Gargoyle 1.5.10.14, extroot, kamerka Logitech HD Webcam C270