非标准端口的TLS证书

Question

我们有一个从子域myserver.university.country访问的服务器(运行在Ubuntu20.04上)，我想在服务器上安装SSL/TLS证书，使到服务器的连接加密。这是我第一次管理服务器，当我询问周围的人(老板、队友)时，没有人能提供帮助。

我们目前服务的一些网站，需要通过一些非标准端口登录(即不是80或443，类似myserver.university.country:8687)，没有通过apache或其他主要服务器软件(我们使用闪亮服务器)。浏览器显示没有锁的不安全连接。我们不想让外来者窃取登录凭据或信息。

我们正在尝试使用加密通过certbot来获取服务器的证书。根据certbot文档，这需要打开端口80 (我们不想访问这个端口)。

安全团队不希望向整个互联网开放端口80，并希望限制对特定IP范围的访问。此外，他们只想打开一个短暂的时间，我的理解是，这将阻止证书的自动更新。然而，certbot 不指定范围，可能使用多个IP.。

我们如何安全地连接到服务器(使用免费的资源)？

我已经超出了我的深度，不知道如何正确配置服务器，并解决IT方面的问题。

Answer 1

在你的组织里和IT部门谈谈。解释您想要软件堆栈中通常信任的TLS证书。提供让我们作为建议加密，但尝试任何其他PKI颁发程序，他们可能有。

TLS (x509)证书没有端口号。作为一个通用的传输应用程序，TLS可以在任何端口上包装任何协议。

但是，获得证书的ACME http挑战必须通过端口80。大概是为了确认您对主机有控制权，并通过使用众所周知的端口来简化实现。

如果端口80不是一个选项，这里有DNS挑战。您需要一个脚本来用质询值更新DNS记录。

您可以选择ACME客户端，并且可以编写脚本以适应您的环境。即使如此，您也不必使用“让我们加密”，您的组织可能有一种不同的方式来颁发证书。