pfSense + HAProxy + ACME: HTTP-01 validation without using port 80

Вступ

У багатьох інсталяціях pfSense використовується не лише як firewall, а і як точка термінації HTTPS для внутрішніх вебсервісів. Типовий стек виглядає так:

• pfSense - firewall та reverse-proxy
• HAProxy - маршрутизація HTTP/HTTPS трафіку
• ACME (Let’s Encrypt) - автоматична генерація HTTPS сертифікатів
• Внутрішні вебсервери - працюють по HTTP у локальній мережі
  

У цій публікації як розгляну як коректно пройти ACME HTTP-01 валідацію, коли порт 80 вже зайнятий HAProxy, без зупинки сервісів і без DNS-01.

Codefinity. Successfully completed track - Python. Preparation for Data Science. Consists of 9 courses.

Track "Preparation for Data Science", curriculum encompasses a collection of pivotal courses that provide foundational knowledge and skills essential for a successful journey in the field of data science. 

These courses encompass the comprehensive study of key concepts, tools, and methodologies integral to the realm of data analysis and modeling.
By delving into courses centered around NumPy, Pandas, statistics, probability theory, as well as mathematics tailored for data analysis and modeling, learners are equipped with a well-rounded toolkit to seamlessly navigate the intricacies of data-driven exploration, manipulation, and inference. 

The curriculum's diverse content ensures a robust understanding of critical elements in data science, cultivating a solid base for individuals venturing into this dynamic and ever-evolving domain.

Preparation for Data Science

Certificate from IT academy GoIT - Python developer

Минув рік дуже інтенсивного навчання в IT академії GoIT - тепер я Python Developer.

Моїм напрямком було вивчення мови програмування #Python з застосуванням у вебзастосунках та у галузі Data Science і машинного навчання (ML).

 Отримав сертифікат Python Developer.

Сертифікат Python Developer.

 

Нотатка. Django. E-mail. User Certificate. EmailBackend.

Для відправлення листів електронною поштою на певних поштових системах потрібно застосовувати свій персональний сертифікат користувача, у парі з закритим ключем.

Властивості сертифіката для підключення клієнта

Але, пробуючи відправити листа у Django з'ясував що листи не відправляються з помилкою:

SSLCertVerificationError(1, '[SSL: CERTIFICATE_VERIFY_FAILED] certificate verify failed: unable to get local issuer certificate (_ssl.c:1000)')

Аналізуючи приклад з прямим надсиланням email через smtplib, з'ясував - що працює відправлення коли контекст створений з використанням purpose  = ssl.Purpose.SERVER_AUTH.

Завершив курс Convolutional Neural Networks in TensorFlow (DeepLearning.AI TensorFlow Developer)

Нова програма навчання від GwG UA з вивчення курсів DeepLearning.AI TensorFlow Developer на платформі Coursera. З циклу ML Bootcamp від Google.

Convolutional Neural Networks in TensorFlow, Липень, 2023

Перший курс вступний у світ TensorFlow: Introduction to TensorFlow for Artificial Intelligence, Machine Learning, and Deep Learning

Завершив курс Introduction to TensorFlow for Artificial Intelligence, Machine Learning, and Deep Learning (DeepLearning.AI TensorFlow Developer)

Нова програма навчання від GwG UA з вивчення курсів DeepLearning.AI TensorFlow Developer на платформі Coursera. З циклу ML Bootcamp від Google.

TensorFlow Developer Professional Certificate
Безкоштовний 2-х місячний доступ для 2000 учасників до TensorFlow Developer Professional Certificate на Coursera, що складається з 4 курсів.
Доступ надаватиметься за умови реєстрації на цьому сайті, детальніше про умови на сторінці "Деталі програми"
Курси цього сертифікату є провідниками у світ машинного навчання для того, щоб отримати практичні навички за допомогою TensorFlow.

Introduction to TensorFlow for Artificial Intelligence, Machine Learning, and Deep Learning, Липень, 2023

Перший курс вступний у світ TensorFlow: Introduction to TensorFlow for Artificial Intelligence, Machine Learning, and Deep Learning

Отримав: Google Cloud COMPLETION BADGE - Developing a Google SRE Culture Jul 2, 2023

Нарешті знайшов час і завершив цей не технічний курс DevOps SRE що давався мені не так легко. 

І по закінченню отримав цей Google Cloud COMPLETION BADGE.

Developing a Google SRE Culture Jul 2, 2023

Developing a Google SRE Culture

In many IT organizations, incentives are not aligned between developers, who strive for agility, and operators, who focus on stability. Site reliability engineering, or SRE, is how Google aligns incentives between development and operations and does mission-critical production support. Adoption of SRE cultural and technical practices can help improve collaboration between the business and IT. This course introduces key practices of Google SRE and the important role IT and business leaders play in the success of SRE organizational adoption.

nginx як проксі для серверів pop3, imap. Додаткова авторизація через ssl client, та блокування у fail2ban.

Задача

Є задача підключити nginx як ssl proxy для служб електронної пошти, з перевіркою авторизації у nginx. Використання nginx дозволить використати сучасні ssl сертифікати, у випадку коли поштові сервіси не можуть це зробити за певних умов. Наприклад коли необхідна додаткова перевірка авторизації через сертифікати ssl клієнта. 

Додаткова авторизація через SSL client certificate.

Для підтримки авторизації через SSL client certificate сторона сервера посилає додатковий запит клієнту на те що очікує від нього особистого сертифікату. Запит описує чи має бути відновіть від клієнта з особистим сертифікатом клієнту обов'язковим чи за бажанням. Надалі клієнт надсилає, а сервер перевіряє отриманий особистий сертифікат клієнту чи був він виданий певним центром сертифікації (CA) та чи він не був відкликаний, або не слив термін придатності. На цьому перевірка закінчена, будь який дійсний сертифікат виданий центром сертифікації (CA) буде прийнятним для сервера.

Free DNS he.net + Free SSL Certificates Let's Encrypt

dns.he.net

Якщо у Вас є домен в DNS службі https://dns.he.net, то можна оновлювати TXT записи через динамічний ключ, а це надає можливість отримати безкоштовні сертифікати через Let's Encrypt у випадку коли у Вас наприклад поштовий сервер.

Рішення що є pligin до certbot - he.net DNS Authenticator plugin for Certbot потребує повний доступ через login/password до Вашого he.net акаунта, як на мене це жирно :)

Тому було знайдено рішення оновлення через динамічний ключ для оновлення тільки одного TXT запису.

he.net TXT

Для отримання ключа його можна згенерувати, наприклад: aJoSWOFyLD1A3iDG

he.net dynamic key

Конвертувати JKS to pem,p12

1. source KEYSTORE.jks 
2. detect alias pb_sign_XXXXXXXXX 
3. relace on code alias to real 

script.sh:

echo "see alias like pb_sign_XXXXXXXXX"
#keytool -list -keystore KEYSTORE.jks
#exit

keytool -exportcert -alias  pb_sign_XXXXXXXXX \
 -keystore KEYSTORE.jks -rfc -file pb.pem

keytool -import -trustcacerts \
  -keystore pb.jks \
  -storepass 1PASSWORD2 -noprompt \
  -file pb.pem -alias pb_sign_XXXXXXXXX

keytool -importkeystore -srcstorepass  1PASSWORD2 \
 -srckeystore pb.jks -destkeystore pb.p12 \ 
 -srcstoretype jks -deststoretype pkcs12
rm pb.jks

4. result pb.pem 
5. result pb.p12

За матеріалами:

jks від Приватбанку конвертувати в pem та/або p12

Моя історія з переходом на SIP технологію, нотатка для себе.

Покриття "CDMA" прощавай

Історія почалася з того що з грудня 2020 року у м.Харків, припиняє роботу мережа покриття "CDMA" оператора - PeopleNet у діапазоні "CDMA-2000" 800 МГц. На "CDMA" у мене був зав'язаний міський номер. Скоріше за все це пов'язано з вивільненням частот під покриття в низькому діапазоні частот 4G - LTE.

Тому як залишити міський мій номер рішень є три:

1. Викинуть цей номер, кому він потрібен зараз.
2. Перейти на переадресацію вхідного на мобільний: плати абон. плату плюс за переадресацію собі на мобільний.
3. Перейти на SIP телефонію.

SIP так SIP

Ну ось я вибрав SIP телефонію з плануванням використовувати ЇЇ у смартфоні. Програми SIP телефонії для Android. 

Нотатка для себе: Обмеження доступу до WiFi корпоративгої мережі зі спілним сервером FreeRadius

Є бездротова точка доступу WiFi що має декілька віртуальних WiFi мереж котрі розділені за допомогою VLAN. Так є корпоративна мережа з доступом до серверів компанії, є звичайна мережа корпоративних користувачів для доступу до мережі інтернет тільки, ні і є гостьова мережа з певними обмеженнями.

Віртуальні WiFi: 

• lexxai 
• lexxai-co
• lexxai-guest
• lexxai_5g
• lexxai-co_5g

Корпоративна WiFi мережа використовує доступ за технологією WPA2-EAP, з авторизацією в корпоративному FreeRadius сервері. Гостьова мережа має доступ з відомим ключем WPA2-PKS, але з Captive Portal. Додаткові мережі що працюють у діапазоні 5ГГц мають суфікс '_5g'.

Налаштування FreeRadius

Усі віртуальні wifi мережі налаштовані з підключенням до спільного Radius сервера, як різні клієнти. 

FreeRadius clients

Використання аппаратного токену та сховища серифікатів у OpenVPN

Знов пишу нотатку для себе.
Тема сьогодні робота у середовищі Windows 10, апаратний токен та  OpenVPN.

Як використовувати для сховища сертифікатів апаратний токен

Є такий токен. Я працював з ним раніше:

• eToken PKSC11 створення та використання ключів у Ubuntu 
• Ініціалізація модуля OTP у токені "Aladdin eToken NG-OTP" за допомогою SDK
• Одноразові паролі (OTP) та сервер Apache (mod_authn_otp) 
• eToken доступ через сертифікати та одноразові паролі

 На вигляд він ось такий:

eToken NG-OTP 72k (Java)

pfSense remove empty password from certificates pkcs12

Коли у pfSense експортуєш сертифікат користувача у форматі pkcs12, наприклад для використання авторизації WiFi EAP то у він експортується захищеним паролем котрий є пустим.

Але деякі мобільні пристрої не можуть імпортувати сертифікати з таким пустим паролем, він мусить бути.

Пароль мусить бути

Тому можна перекодувати .p12 такими командами

openssl pkcs12 -in userz.p12 -nodes -out temp.pem
openssl pkcs12 -export  -in temp.pem  -out userz-p.p12
rm temp.pem

Де:  userz.p12 - вхідний файл, userz-p.p12 - вихідний файл з паролем
На перший запит пароля вводимо Enter, на інші необхідний новий відомий Вам пароль.

Запити паролів