andrey.lysikov

certificate: domain: XXX.XXX is-ndns: no should-be-renewed: no is-expired: no issue-time: 2024-07-04T11:36:49.000Z expiration-time: 2024-10-01T11:36:49.000Z Будем смотреть, но что-то пока уверенности нет )) Тут наверно надо исходить из логики, почему в KeenDNS есть компонент Acme, а в DynDNS нет? Я-же может не просто так добавляю свой домен в DynDNS ) возможно стоит функционал субдоменов скопировать так-же и в компонент DynDNS, чтобы можно было и их там тоже добавлять, ну или добавить туда Acme.

Привет, недавно как раз разбирался с доменами, работать должно вот так (делаем через CLI, надо чтобы обязательно был установлен KenDNS для https): Надо чтобы была переадресация всего трафика (и веб морды тоже) автоматом с 80 на 433 порт: (config)> ip http port 80 (config)> ip http security-level public ssl (config)> ip http ssl enable (config)> ip http ssl redirect Далее добавляем свои домены: (config)> ip http proxy subdomain1 (config-http-proxy)> domain static domain1.com (config-http-proxy)> upstream http 192.168.1.3 80 (config-http-proxy)> allow public (config-http-proxy)> ssl redirect (config-http-proxy)> x-real-ip (config)> ip http proxy subdomain2 (config-http-proxy)> domain static domain1.com (config-http-proxy)> upstream http 192.168.1.5 80 (config-http-proxy)> allow public (config-http-proxy)> ssl redirect (config-http-proxy)> x-real-ip (config)> ip http proxy subdomain1 (config-http-proxy)> domain static domain2.com (config-http-proxy)> upstream http 192.168.1.7 80 (config-http-proxy)> allow public (config-http-proxy)> ssl redirect (config-http-proxy)> x-real-ip Причем вместо 192.168.1.3/192.168.1.5/192.168.1.7 можно использовать MAC адрес устройства, тогда будет привязка не к IP а к MAC, и при изменении IP трафик пойдет на тоже устройство. Порт тут может быть как и 80 так и 443, без разницы (если у тебя там SSL, то его сертификат будет игнорироваться). Так-же оба домена могут смотреть на один адрес и порт, но там тебе тогда правильно надо настроить веб сервер. Теперь надо получить сертификаты, для корректной работы SSL: (config)> ip http ssl acme get subdomain1.domain1.com (config)> ip http ssl acme get subdomain2.domain1.com (config)> ip http ssl acme get subdomain1.domain2.com Между командами надо выжидать паузу, так как при ее выполнение происходит выдача сертификата (пару минут). Все, теперь твой трафик идет с твоих собственных доменов, напрямую через Кинетик на хост внутри твоей сети. Но тут есть пару вопросов на которые у меня пока ответа нет, почему для использования Acme надо обязательно ставить KeenDNS (ну т.е. можно было просто в системный компонент его положить или в DynDNS компонент, так было-бы правильнее). И вопрос, будет ли обновлен SSL сертификат автоматически или нет. Ну т.е. мне придется опять его выпускать когда он просрочится или Кинетик сам его перевыпустит.

Эта команда не работает если не установлен компонент “KeenDNS”.

А можете модуль Acme добавить еще в компонент DDNS? Чтобы логичная привязка была, ну т.е. если свой домен, и используем DDNS, то и сертификат для него можно получить через CLI. И подскажите еще, в документации нигде не указано, будет он обновлен автоматически или нет? (ну т.е. мне перевыпускать его надо будет руками если он просрочился)

Хотел-бы поднять еще раз тему про сертификаты, дело в том, что если привязать свой домен и поддомен через ip http proxy, то чтобы сделать для них ip http ssl acme get обязательно надо чтобы был установлен компонент CloudDNS/KeenDNS, так как только в нем находится скрипт acme, и без него выпустить сертификат не получится. Можно-ли вынести acme как отдельный компонент? (я например не хочу использовать KeenDNS, но с установленным этим компонентом все равно выдается xxxxxxxxxxxxxxx.keenetic.io). Возможно надо добавить Acme и в компонент для DDNS, чтобы скажем можно было привязать домен, и получить сертификат по нему. Плюс хочется как-до расширить ЧАВО по использованию ip http proxy и ip http ssl acme, так как сейчас на сайте документации информация только по доменам в KeenDNS, и самому разобраться достаточно сложно (точнее не очевидно что такая возможность вообще есть).