nginx proxy apache ssl setup

0

1

Доброго времени суток!

Есть вебхостинг на котором пара десятков сайтов. Настроено так: nginx на 80-м порту принимает соединения, статические файлы отдаёт сам, динамику проксирует на 81-й порт апачу. Для одного сайта потребовалось настроить ssl. Есть ключ, сертификат, подключил к nginx для этого домена и первый же сайт для проверки ssl показал domain name mismatch, статус F, всё плохо. Начал гуглить и некоторые инструкции говорят, что нужно подключать сертификаты к апачу (ещё задествовать rpaf) и правильно передавать заголовки, а некоторые, что соединение должно быть шифрованным только до nginx. Собственно вопрос — как правильно настроить ssl в такой связке?

Перемещено leave из general

Ссылка

←	Проблема с заходом на сервер по ключу

Трансфер зоны в bind

→

HTTPS терминировать на nginx'е, на апач проксировать http.

Для одного сайта потребовалось настроить ssl. Есть ключ, сертификат, подключил к nginx для этого домена и первый же сайт для проверки ssl показал domain name mismatch, статус F, всё плохо.

Плохо настроил

anonymous
(15.03.17 20:53:45 MSK)

Ссылка

имя домена в ssl паре соответствует целевому? Серверу nginx подал chain ssl cert? Ниже выдержка из работающего nginx

server {
	listen				80;
	server_name			domain_name;
	location / {
		}
	return 301 https://$host$request_uri;
	}
server {
	listen				443 ssl;
	ssl_certificate			/etc/ssl/certs/domain.chained.crt;
	ssl_certificate_key		/etc/ssl/private/domain.key;

	location / {
		proxy_pass		http://blabla:8080;
		proxy_set_header	Host $host;
		proxy_set_header	X-Real-IP $remote_addr;
		proxy_set_header	X-Forwarded-For $proxy_add_x_forwarded_for;

targitaj ★★★★★
(15.03.17 21:08:21 MSK)
Последнее исправление: targitaj 15.03.17 21:12:46 MSK (всего исправлений: 2)

Ответ на: комментарий от targitaj 15.03.17 21:08:21 MSK

Хм, вроде всё то же, только редирект надо добавить. Оказалось сертификат ненадёжный, был сгенерирован SHA-1, в общем буду переделывать с помощью letsencrypt. Спасибо за помощь!

conformist ★★★
(15.03.17 21:48:27 MSK) автор топика

Ответ на: комментарий от conformist 15.03.17 21:48:27 MSK

Пфф. Пока что, единственная осуществленная атака на «небезопасный» SHA-1 потребовала емнип пару лет подбора исходных данных.

svr4 ☆
(16.03.17 18:41:38 MSK)

Ответ на: комментарий от svr4 16.03.17 18:41:38 MSK

Тем не менее сделал добротные сертификаты и получил A+ от ssllabs. Всё хорошо :)

conformist ★★★
(16.03.17 20:16:08 MSK) автор топика

Ссылка

Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.

←	Проблема с заходом на сервер по ключу

Admin

Трансфер зоны в bind

→

Похожие темы