Gültige SSL Zertifikate wenn man tailscale verwendet

[konne]

Hallo einer der wirklich in meinen Augen großartigen Punkte von tailscale ist, dass man sich für das Gerät und den DNS namen im TS network ein echtes lets encrypt Zertifikat ausstellen lassen kann und dann damit keine Warnung / Fehlermeldungen und Co mehr hat.
Tailscale bietet hierzu grundsätzlich zwei möglichkeiten an.
Ersten kann man mit tailscale cert FQDN sich die cert und das key file abholen.
Die ist dann ein gültiges lets encrypt cert, was für 90 Tage gültig ist und einen ECC key hat.
Ich weiß nicht ob lighthttp den Key kann und man müsste dann noch einen mechnismus haben, der alle 90 Tage ein neues holt und lighthttp neustartet.

Schöner fänd ich eigentlich den weg über tailscale serve. Dies ist ein automatischer reverse proxy der dann auch gleich die SSL Terminierung machen kann. Geht mit tailscale serve https / http://127.0.0.1:80
Das problem ist nur, dass er nun auch den port 443 auf der Tailscale 100.x.x.x IP mit bindet. Das geht so lange gut, so lange man lighthttp nicht neustartet.

Meine Idee war nun, dass man wie auch beim ssl_redirect, lighttp config in den /var/... Bereich legt, so dass sobald tailscale gestartet ist z.B. der lokale https port auf 444 verschoben wird. So habe ich das gerade manuell bei mir erstmal gelöst. Mit allen seinen Nachteilen.

Ich würde jetzt gerne erstmal @jens-maus deine Rückmeldung zu dem Thema haben, bevor ich mich das weiter rein begebe.
Wenn du auch den Weg über tailscale serve gut fändest, würde ich mich über ein paar Hinweise freuen, wie man das gut macht.

[konne]

Was mir jetzt noch zusätzlich aufgefallen ist, dass monit ja die ganze zeit den localhost 443 checked und der jetzt nicht mehr geht, daher startet er permament sinnloserweise lighthhttp neu.
Das Problem müssten man also auch noch elegant lösen

Was man vieelicht machen könnte ist, das wenn tailscale serve mit https läuft, dass man dann das lighthhtp einfach nur an den localhost bindet