איך לקבל תעודת אבטחה SSL לשירות פנימי

בכתבה זו נפרט שלב אחר שלב כיצד ניתן להנפיק תעודת אבטחה (SSL) לשירותים פנימיים בשרת הביתי. השיטה מיועדת למשתמשים המעוניינים לגשת לשירותים פנימיים בצורה מאובטחת וללא גישה מחוץ לרשת הביתית. נשען על כלים כמו ADGUARD או PIHOLE, NGINX Reverse Proxy Manager, וכתובת פנימית לשירות שברצונכם להגן עליו.

מה זה SSL ולמה הוא חשוב גם בשירותים פנימיים?

SSL (Secure Sockets Layer) הוא פרוטוקול אבטחה שנועד להגן על התקשורת בין משתמשים לבין השרתים שבהם הם מבקרים. כאשר אתר או שירות מאובטח באמצעות SSL, כל הנתונים המועברים בין המשתמש לשרת מוצפנים, מה שמקשה על גופים חיצוניים ליירט את המידע ולפגוע בפרטיותו. תעודת SSL היא למעשה הוכחה לזהות האתר, המונעת ממשתמשים להתחבר בטעות לאתרים או שירותים מזויפים.

מדוע חשוב SSL גם בשירותים פנימיים?

גם בשירותים פנימיים, כאשר אין גישה מהאינטרנט, שימוש ב-SSL יכול לשפר את האבטחה ולהגן על מידע רגיש. לדוגמה, אם ברשת הביתית יש כמה משתמשים או מכשירים המחוברים לרשת, SSL מוודא שאף אחד מהם לא יוכל לגשת לנתונים שמועברים בין השירותים הפנימיים.

אילו אפליקציות דורשות SSL באירוח עצמי פנימי?

ישנן אפליקציות רבות המנוהלות בשרתים פרטיים וזקוקות ל-SSL, בין אם להעלאת רמת האבטחה ובין אם לפתרון בעיות תאימות. להלן כמה דוגמאות נפוצות:

• מערכות DNS מקומיות (כמו AdGuard או Pi-hole) – מבצעות חסימה וסינון של פרסומות או תוכן לא רצוי, ודורשות SSL כדי להבטיח אבטחה בחיבור מול ממשק הניהול.
• ממשקי ניהול כגון NGINX Reverse Proxy Manager – מצריכים SSL כדי להגן על כניסות למערכת ההפניות והניהול של בקשות החיבור.
• כלי אחסון בענן עצמי (Nextcloud או OwnCloud) – אפליקציות לשיתוף קבצים וניהול נתונים בענן פרטי שמצריכות SSL כדי להגן על הקבצים המועברים והמידע המאוחסן.
• Home Assistant ומערכות בית חכם אחרות – מבוססות על גישה מאובטחת לממשק הניהול, שחשוב לשמור מאובטח גם ברשת הפנימית.

באמצעות הגדרת SSL, תוכלו להבטיח שגם השירותים הפנימיים שלכם יישארו מוגנים ומאובטחים.

שלב 1: רישום דומיין ב-DuckDNS

1. היכנסו לאתר DuckDNS והירשמו. DuckDNS מספקת דומיין דינמי בחינם שיאפשר לכם לקבל שם דומיין קבוע המתעדכן אוטומטית לפי כתובת ה-IP שלכם.
2. רשמו דומיין חינמי – בחרו שם דומיין קל לזכירה, אותו תקשרו לשירות הפנימי.

שלב 2: פתיחת פורטים בראוטר

1. פתיחת פורטים – כנסו להגדרות הראוטר שלכם ופתחו שני פורטים מתאימים, לרוב 80 ו-443, עם הפניה לכתובת ה-IP הפנימית של NGNIX שלכם.
2. יש לוודא שההפניה מובילה לכתובת ה-IP החיצונית של השרת דרך פורטים אלה לצורך תקשורת עם ה-REVERSE PROXY.

שלב 3: הגדרת NGINX Reverse Proxy Manager

1. התקינו NGINX Reverse Proxy Manager – הכלי הזה מאפשר לנהל בקשות נכנסות על פי כתובות הדומיין ולהפנותן לשירותים פנימיים בשרת.
2. יצירת Host חדש – בתוך NGINX Reverse Proxy Manager, צרו Host חדש עם שם הדומיין שרשמתם ב-DuckDNS.
   • כיוונו את ה-Host כך שיפנה אל כתובת ה-IP הפנימית של השירות (למשל, 192.168.1.10) ופורט פנימי מתאים.

שלב 4: הנפקת תעודת אבטחה עם Let's Encrypt

1. ב-NGINX Reverse Proxy Manager – בלשונית של SSL, בחרו באפשרות להנפיק תעודת Let’s Encrypt.
2. אמתו את הדומיין – התהליך יחייב את כתובת הדומיין שלכם ב-DuckDNS כדי לאמת שהדומיין אכן שייך לכם.
3. קבלת התעודה – לאחר אישור התעודה, היא תותקן ב-Proxy Manager ותאובטח באופן אוטומטי.

שלב 5: סגירת פורטים בראוטר

לאחר קבלת התעודה, כדי להבטיח אבטחה מוגברת, ניתן לסגור את הפורטים שפתחתם בראוטר. תצטרכו לפתוח אותם מחדש בכל פעם שתרצו לחדש את התעודה (תעודת Let’s Encrypt דורשת חידוש כל שלושה חודשים).

שלב 6: הגדרת DNS פנימית עם ADGUARD או PIHOLE

1. גישה ל-DNS Rewrite (ב-ADGUARD) או להגדרות ה-DNS המקומיות שלכם.
2. הוסיפו DNS Rewrite – הזינו את שם הדומיין שרשמתם ב-DuckDNS והפנו אותו לכתובת ה-IP הפנימית של השרת, כך שהדומיין יוביל לכתובת הפנימית שלכם מבלי צורך בכתובת חיצונית.

סיכום

לאחר השלמת השלבים, תוכלו לגשת לשירות הפנימי שלכם דרך כתובת הדומיין, מאובטחת עם תעודת SSL בתוקף. זכרו, יש לחדש את התעודה כל שלושה חודשים, ולכן יש לפתוח את הפורטים לזמן קצר עבור החידוש.

בהצלחה!