diff --git a/proxmox/lxc103-dokploy/docs/autopass.md b/proxmox/lxc103-dokploy/docs/autopass.md index 1ad7c10..563186e 100644 --- a/proxmox/lxc103-dokploy/docs/autopass.md +++ b/proxmox/lxc103-dokploy/docs/autopass.md @@ -6,7 +6,7 @@ Gateway RAR AUTOPASS (Python / FastAPI) care preia prezentări de service-auto declară la RAR AUTOPASS (Legea 142/2023). Deployat pe Dokploy / LXC 103 ca serviciu Docker Compose. -- **Domeniu:** `autopass.roa.romfast.ro` +- **Domenii:** `autopass.romfast.ro` (public, site IIS dedicat) + `autopass.roa.romfast.ro` (prin wildcard) - **Server:** LXC 103 (10.0.20.167) - **Deployment:** Dokploy → Docker Compose, provider **Custom Git** - **Repo:** `git@gitea.romfast.ro:romfast/rar-autopass.git`, branch **`main`** @@ -150,6 +150,38 @@ explicit — preferabil prin Environment în Dokploy, nu hardcodat în compose. ## DNS ``` +autopass.romfast.ro A 188.26.14.103 autopass.roa.romfast.ro A 188.26.14.103 ``` -Acoperit de wildcard `*.roa.romfast.ro` (DNS + cert win-ACME pe VM 201). +`autopass.roa…` e acoperit de wildcard `*.roa.romfast.ro`. `autopass.romfast.ro` e +single-name → are site IIS + cert propriu (vezi mai jos). + +--- + +## Domeniu public `autopass.romfast.ro` (site IIS dedicat) + +Spre deosebire de `*.roa`, domeniul public single-name are nevoie de **site IIS propriu** +pe VM 201 (model identic cu `roa-qr` — pattern din `setup-new-iis-sites.ps1`). + +**IIS (VM 201, 10.0.20.122)** — Site ID **7**, nume `autopass`: +- HTTP `:80` + HTTPS `:443` hostHeader `autopass.romfast.ro`, SNI (SslFlags 1) +- `C:\inetpub\autopass\web.config` = catch-all rewrite → `http://10.0.20.167/{R:1}` + (Traefik LXC 103) cu `X-Forwarded-Proto/Host` + `X-Real-IP` + +**Cert SSL — win-acme HTTP-01, auto-renew** (la fel ca site-urile 1–5): +```powershell +C:\Tools\win-acme\wacs.exe --source iis --siteid 7 --host autopass.romfast.ro ` + --validationmode http-01 --validation selfhosting --installation iis ` + --store certificatestore --accepttos --emailaddress admin@romfast.ro +``` +- Validation `selfhosting` (c7d5e050) — ascultă pe http.sys, **nu** e blocat de catch-all-ul + din web.config. Install `iis` (ea6a5be3) → re-leagă automat binding-ul SNI la renew. +- Renewal: `[IIS] autopass, autopass.romfast.ro`, Scheduled Task "win-acme renew", next ~2026-08-23. +- Monitorizat în `monitor-ssl-certificates.sh` (Site ID 7) ca safety-net. + +**Pas necesar în Dokploy** (Traefik rutează după Host → trebuie domeniul adăugat explicit): +> Dokploy → service `autopass` → **Domains** → **Add Domain** +> - Host: `autopass.romfast.ro`, Service: **`api`**, Container Port: **`8010`**, Path: `/` +> - **HTTPS: OFF** (entrypoint `web`) — TLS-ul public se termină la IIS; Certificate: None +> Save → Traefik hot-reload. Înainte de pas: `https://autopass.romfast.ro/` → **404** (Traefik +> n-are router pe acest Host). După pas: **200**. diff --git a/proxmox/vm201-windows/scripts/monitor-ssl-certificates.sh b/proxmox/vm201-windows/scripts/monitor-ssl-certificates.sh index d9df651..977b177 100644 --- a/proxmox/vm201-windows/scripts/monitor-ssl-certificates.sh +++ b/proxmox/vm201-windows/scripts/monitor-ssl-certificates.sh @@ -24,12 +24,13 @@ DOMAINS=( "dokploy.romfast.ro" "gitea.romfast.ro" "roa2web.romfast.ro" - "roa-qr.romfast.ro" + "autopass.romfast.ro" "efactura.roa.romfast.ro" ) # Site IDs pentru fiecare domeniu (in aceeasi ordine) -SITE_IDS=(1 2 3 4 5 "WILDCARD") +# NOTA: roa-qr.romfast.ro decomisionat 2026-06-29 (migrat la qr.roa.romfast.ro, acoperit de wildcard) +SITE_IDS=(1 2 3 4 7 "WILDCARD") log() { echo "[$(date '+%Y-%m-%d %H:%M:%S')] $1" | tee -a "$LOG_FILE"