LINUX.ORG.RU

10
Всего сообщений: 440

Не хочет работать виртуальный хост 443 apache centos8

Здравствуйте! Уже все что можно перерыл не могу понять причины. Имеется виртуальный хост, и сайт нормально открывается:

<VirtualHost *:80>
    ServerName www.site.ru
    ServerAlias site.ru
    DocumentRoot /var/www/site/public
    ErrorLog /var/log/httpd/site/error.log
    CustomLog /var/log/httpd/site/requests.log combined
</VirtualHost>
Получил сертификаты через certbot-auto и создал хост:
<IfModule mod_ssl.c>
<VirtualHost *:443>
    ServerName www.site.ru
    ServerAlias site.ru
    DocumentRoot /var/www/site/public
    ErrorLog /var/log/httpd/site/error.log
    CustomLog /var/log/httpd/site/requests.log combined

SSLCertificateFile /etc/letsencrypt/live/site/fullchain.pem
SSLCertificateKeyFile /etc/letsencrypt/live/site/privkey.pem
Include /etc/letsencrypt/options-ssl-apache.conf
</VirtualHost>
</IfModule>
Апач не выдает никаких ошибок синтаксиса и нормально запускается, но когда пытаюсь зайти на сайт по https, то выкидывает на дефолтную страницу апача с самоподписанными сертификатами. Подскажите, в какую сторону копать? Модуль ssl успешно подгружен и работает
# apachectl -M | grep ssl
 ssl_module (shared)

 , , ,

sm1tt ()

Добавить поддержку cipher suite в Nginx

Добрый день,

необходимо добавить поддержку одного из следующих ниже шифров на сервере Nginx с OpenSSL 1.1.1d на Debian 9

TLS_RSA_WITH_RC4_128_SHA
TLS_RSA_WITH_RC4_128_MD5
TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256_P256
TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256_P384
TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256_P521
TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384_P384
TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384_P521
TLS_RSA_WITH_AES_128_CBC_SHA256
TLS_RSA_WITH_AES_256_CBC_SHA256
TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256_P256
TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256_P384
TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256_P521
TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384_P256
TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384_P384
TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384_P521
TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256_P256
TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256_P384
TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256_P521
TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384_P384
TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384_P521
TLS_DHE_DSS_WITH_AES_128_CBC_SHA256
TLS_DHE_DSS_WITH_AES_256_CBC_SHA256
TLS_RSA_WITH_AES_128_CBC_SHA
TLS_RSA_WITH_AES_256_CBC_SHA
TLS_RSA_WITH_3DES_EDE_CBC_SHA
TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA_P256

текущий SSL конфиг выглядит так

ssl_protocols  TLSv1.2 TLSv1.3;
ssl_ciphers ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-CHACHA20-POLY1305:ECDHE-RSA-CHACHA20-POLY1305:DHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES256-GCM-SHA384;
ssl_prefer_server_ciphers off;

ssl_stapling on;
ssl_stapling_verify on;

но если я просто добавляю одну из строк шифра в конец значения параметра ssl_ciphers и перезапускаю сервер, то шифр всё равно не поддерживается, судя по тестам https://www.wormly.com/test_ssl/ и https://www.ssllabs.com/ssltest/

Что я делаю не так?

 ,

Jacky ()

Как атоматически установить Letsencrypt (certbot-auto) ?

Пишу ansible playbook, который должен установить и активизировать Letsencrypt на хосте. Соответственно, никаких интерактивных вопросов при установке и настройке быть не должно.

Вначале скачивается certbot-auto:

wget https://dl.eff.org/certbot-auto

Далее нужно его активировать:
./certbot-auto register --email myemail@yandex.ru

Проблема в том, что при выполнении скрипта certbot-auto появляются вопросы типа:
Saving debug log to /var/log/letsencrypt/letsencrypt.log
- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -
Please read the Terms of Service at
https://letsencrypt.org/documents/LE-SA-v1.2-November-15-2017.pdf. You must
agree in order to register with the ACME server at
https://acme-v02.api.letsencrypt.org/directory
- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -
(A)gree/(C)ancel:

И в документации я не могу найти опции, которые бы позволяли данные вопросы обойти. Возможно, я не понимаю документацию, и там таки написано как не-интерактивно запускать certbot, но я не нашел.

Вроде как есть опции -n, --non-interactive, --noninteractive, которые должны подавлять вопросы, но они применимы только для некоторых плагинов, и для плагина register они не работают.

Вопрос: как с нуля установить Letsencrypt так, чтобы со стороны человека не делать никаких действий?

 , ,

Xintrea ()

Как самостоятельно проверить ssl-сертификат?

Предположим, что у нас есть контрол-сервер с доменом на https. Какие действия нам нужно совершить чтобы проверить, что это не evil twin с сертификатом от «Дядя Вася и Ко»?

К серверу подключаемся сокетом, потом работаем при помощи библиотеки openssl.

 , ,

PPP328 ()

Шифрование PHP openssl, проблемы.

Ситуация такая. Допустим вот этот код:

$key = 'asdfg';
$plaintext = 'Шифруемый текст';
$cipher = "aes-128-gcm";
$iv = 'asdf';
$ciphertext = openssl_encrypt($plaintext, $cipher, $key, $options = 0, $iv, $tag);
echo $ciphertext;
Возвращает строку: 'TGNHV3h0cFJ4TmJjWXZEUHR1c2h2WTUwSDhIVTM0d1FuellJdnlJPQ=='

А вот этот код ее не расшифровывает:

$key = 'asdfg';
$iv = 'asdf';
$ciphertext = 'TGNHV3h0cFJ4TmJjWXZEUHR1c2h2WTUwSDhIVTM0d1FuellJdnlJPQ==';
$cipher = "aes-128-gcm";
$original_plaintext = openssl_decrypt($ciphertext, $cipher, $key, $options = 0, $iv, $tag);
echo $original_plaintext;

При этом код с https://www.php.net/manual/ru/function.openssl-encrypt.php

$key = 'asdfg';
// например, с помощью openssl_random_pseudo_bytes
$plaintext = "данные для шифрования";
$cipher = "aes-128-gcm";
if (in_array($cipher, openssl_get_cipher_methods()))
{
    $ivlen = openssl_cipher_iv_length($cipher);
    $iv = openssl_random_pseudo_bytes($ivlen);
    $ciphertext = openssl_encrypt($plaintext, $cipher, $key, $options=0, $iv, $tag);
    // сохраняем $cipher, $iv и $tag для дальнейшей расшифровки
    $original_plaintext = openssl_decrypt($ciphertext, $cipher, $key, $options=0, $iv, $tag);
    echo $original_plaintext."\n";
}
работает прекрасно. Но у него есть один недостаток. Он работает только в одном скрипте. Я не понимаю как сохранять шифрованные данные чтобы использовать их другими скриптами.

Что я делаю не так?

 ,

Maksimko ()

Расшифровка SSL.

Понимаю, как работает SSL. Но не могу понять одного факта:

Добавление своего корневого сертификата позволяет расшифровывать весь трафик (со всех сайтов). Почему? Ведь сертификаты и сеансовые ключи то разные…

 ,

Marex ()

Стрим на собственный сервер

В общем, задача такая: есть свой LAMP сервер дома, на котором работает сайт на вордпрессе. Хочется сделать пост, в котором будет окно с видеотрансляцией моего экрана, типа как твич. Как это осуществить я не понимаю совсем, может кто-то объяснить насколько это возможно вообще и с чего начать?

Лампа работает из-под вмбокса на вин10. Допустим, на вин10 запустить стрим игры, чтобы шло на сервак с лампой. Что мне понадобиться? Чем снимать картинку с экрана, чем энкодить, как направить на серв?

 , , , ,

magrega ()

NGINX как реверс-прокси с SSL. SSL_ERROR_RX_RECORD_TOO_LONG + не работают относительные URL.

Привет всем! Я имею фронтэнд на Vue + Webpack Dev-server и бэкенд на Node.js +Express, работающих на портах 8080 и 3000 соответственно. Для того что бы добавить поддержку SSL я использую в качестве реверс-прокси NGINX + Cerbot со следующей конфигурацией - https://gist.github.com/sergey-prosvirnin/0fb8c37a38fdbe024d61b7705fd73978

Моя проблема заключается, что когда я хочу обратиться к бэкенду, например для сброса пароля по ссылке вида http://liga.is:3000/static/user/auth/local/reset-password-set-new-one?code=XXX я получаю ошибку браузера SSL_ERROR_RX_RECORD_TOO_LONG (Firefox), но если я сброшу куки и кэш, после перезагрузки всё вновь работает, но проблема повторяется вновь и вновь.

Так же я заметил, что все изображения с относительным путем /static/img/*** перестают работать, когда работают через NGINX.

Всех выше этих вышеизложенных проблем нет, когда я не использую NGINX.

Сайт с проблемой - https://vk.cc/awbpv5

Видео с проблемой №1 - https://youtu.be/l7Zb2Ux3Zw8 Видео с проблемой №2 - https://youtu.be/WS6EAwWV35o

Репозиторий с кодом проекта - https://github.com/HabitRPG/habitica

 , , , ,

BizonPC ()

https на локальном wordpress

Всем привет! Вопрос, вероятно, глупый, потому что я не смог найти какой-то подходящей мне информации в интернете, потому прошу разжевать если кому-то не сложно.

Есть локальный wordpress на LAMP, на который захожу из-вне по внешнему айпи, домена никакого нет, просто по айпи адресу. Эта лампа у меня на виртуальном дебиан 10 в вм боксе, который стоит на вин10.

Задача: сделать соединение безопасным, чтобы я подключался по https.

Я пытался сделать самописный сертификат ОпенССЛ и установить его плагином really simple SSL, но он его не видит. И пытался сделать бесплатный сертификат от летсенскрипт, но по голому айпи он сертификат не дает.

Насколько вообще возможно это сделать, не имея хостинга или купленного домена, а просто держа сервак дома?

 , , ,

magrega ()

HTTPS‐страница с RSS‐подпиской. Небезопасное соединение?

ЛОР, помоги разобраться.

Почему на HTTPS‐странице с RSS‐подпиской при проверке SSL‐сертификата отображается Connection is Not Secure? На остальных страницах сайта всё в порядке — Secure Connection.

 , ,

Joanna ()

Явный SSL\TSL для vsftpd

Здравствуйте, дорогие специалисты! Очень прошу помощи как новичок. Пытаюсь сделать шифрованное соединение для своего фтп. Сделал сертификат, WinSCP пускает, но через несколько мгновений теряет соединение. Успеваю открыть файл один, пройти пару папок и пропадает соединение:

Превышено время ожидания (соединение потока передачи данных)
Не могу получить содержимое каталога

а иногда и не пускает, просто очень долго висит тут, пока не выходит время ожидания:

imgur

Когда отключаю ufw и захожу просто по фтп - всё работает как надо. Всё происходит локально. Запустил Debian 10 в VM box на вин10 и пытаюсь подключиться с вин10 на дебиан по winSCP.

вот файрвол

Status: active

To                         Action      From
--                         ------      ----
21/tcp                     ALLOW       Anywhere                  
22/tcp                     ALLOW       Anywhere                  
60000:65535/tcp            ALLOW       Anywhere                  
Samba                      ALLOW       Anywhere                  
OpenSSH                    ALLOW       Anywhere                  
20/tcp                     ALLOW       Anywhere                  
80/tcp                     ALLOW       Anywhere                  
443/tcp                    ALLOW       Anywhere                  
3306/tcp                   ALLOW       Anywhere                  
990/tcp                    ALLOW       Anywhere                  
989/tcp                    ALLOW       Anywhere                  
40000:50000/tcp            ALLOW       Anywhere                  
10000:30000/tcp            ALLOW       Anywhere                  
50000:60000/tcp            ALLOW       Anywhere                  
10000:11000/tcp            ALLOW       Anywhere                  
21/tcp (v6)                ALLOW       Anywhere (v6)             
22/tcp (v6)                ALLOW       Anywhere (v6)             
60000:65535/tcp (v6)       ALLOW       Anywhere (v6)             
Samba (v6)                 ALLOW       Anywhere (v6)             
OpenSSH (v6)               ALLOW       Anywhere (v6)             
20/tcp (v6)                ALLOW       Anywhere (v6)             
80/tcp (v6)                ALLOW       Anywhere (v6)             
443/tcp (v6)               ALLOW       Anywhere (v6)             
3306/tcp (v6)              ALLOW       Anywhere (v6)             
990/tcp (v6)               ALLOW       Anywhere (v6)             
989/tcp (v6)               ALLOW       Anywhere (v6)           

а вот конфиг vsftpd

>rsa_cert_file=/etc/ssl/certs/vsftpd.pem
>rsa_private_key_file=/etc/ssl/private/vsftpd.key
>ssl_enable=YES
>listen_port=990
>allow_anon_ssl=NO
>force_local_data_ssl=YES
>force_local_logins_ssl=YES
>ssl_tlsv1=YES
>ssl_sslv2=NO
>ssl_sslv3=NO
>require_ssl_reuse=NO
>ssl_ciphers=HIGH
>force_dot_files=YES
>user_config_dir=/etc/vsftpd_user_conf

 , , , ,

magrega ()

Gentoo, настройка SSL, ни в какую Apache2 не запускается с сертификатом, выданным регистратором

Кучу инструкций перерыл, начиная с инструкции от того, кто выдал сам сертификат. В основном на «плохие линии» жалуется, ну и такое выдаёт:

[Fri Jun 05 22:32:26.257624 2020] [ssl:emerg] [pid 24508] AH01903: Failed to configure CA certificate chain!
[Fri Jun 05 22:32:26.257762 2020] [ssl:emerg] [pid 24508] AH02312: Fatal error initialising mod_ssl, exiting.
AH00016: Configuration Failed

Знатоки админы, расскажите тонкости этого дела, пожалуйста

 , ,

burato ()

Проблемы с openvpn

alexandrov@ubuntu:~$ sudo openvpn --config salexandrov.ovpn 
[sudo] password for alexandrov: 
Wed Jun  3 17:44:14 2020 OpenVPN 2.4.4 x86_64-pc-linux-gnu [SSL (OpenSSL)] [LZO] [LZ4] [EPOLL] [PKCS11] [MH/PKTINFO] [AEAD] built on May 14 2019
Wed Jun  3 17:44:14 2020 library versions: OpenSSL 1.1.1  11 Sep 2018, LZO 2.08
Enter Auth Username: salexandrov
Enter Auth Password: ******
Wed Jun  3 17:44:37 2020 OpenSSL: error:0B080074:x509 certificate routines:X509_check_private_key:key values mismatch
Wed Jun  3 17:44:37 2020 Cannot load private key file [[INLINE]]
Wed Jun  3 17:44:37 2020 Error: private key password verification failed
Wed Jun  3 17:44:37 2020 Exiting due to fatal error


Я долго мучался с GPG
аутентификация по google authentificator
на выходе есть такие файлы pkey.asc и salexandrov.ovpn

 , ,

w1nner ()

443 server certificate does NOT include an ID which matches the server name

В принципе не понятно В следствии чего возникает эта ошибка?

Установил mkcert

Для виртуальных хостов выполнил mkcert host.name

В результате прекратило выдавать эту ошибку в логах каждого хоста с ssl

Но она осталась для localhost.localdomain

 

mirek ()

Вопрос по SQUID

Добрый день, прошу помочь разобраться. Дело в общем вот какое: есть доступ к интернет, но чтобы открыть хоть какой-нибудь сайт, нам провайдер выдал сертификат (.cer) для установки в браузер, ибо без него вообще ничего не открывается (браузер пишет, мол Предупреждение: Вероятная угроза безопасности, а кнопку Принять риск и продолжить - можно нажимать до бесконечности). И чтобы не устанавливать этот сертификат на каждом устройстве организации, услышал, что можно поставить этот сертификат на proxy squid, и ходить в интернет уже через него. Господа эксперты, подскажите что, где, как и куда копать?

 , ,

Roman3 ()

Как организовать правильный SSL сертификат?

Предыстория: в качестве rss-читалки/агрегатора я на своём домашнем сервере (есть выделенный провайдером IP для моей домашней сети) поднял tiny tiny rss readder. Всё меня долгое время устраивало, но официальный клиент для Android с неделю назад решил сделать «лучше», а именно «options to trust any SSL certificate have been removed»

То есть мне теперь нужно установить правильный SSL-сертификат. Я установил certbot (плагин для Apach) и попробовал его получить, но в процессе получения он хочет имя домена которое соответственно зарегистрировано.

Собственно говоря мне как сферическому в вакууме пользователе нужна только читалка и я особо не напрягаюсь с её компрометацией, но я готов пройти этот квест. Вопрос: как?

Как мне зарегистрировать доменное имя с минимальной кровью и желательно недорого? Можно ли при получения сертификата обойтись без этого? Использовать всё-равно этот сервис буду только я.

Итого: перенаправил 80ый порт и отсертифицировал свой сервис по самые уши через certbot и xip.io. Клиент съел это и не подавился (порт убрал на всякий случай). Теперь в браузере закрытый замочек видится, как положено. Через пол года надо будет повторить процедуру. Но IMHO какие-то костыли ей богу.

Благодарности: Всем спасибо за варианты решения. ЛОР можно использовать для своей пользы!

 , ,

Evgueni ()

РЕШЕНО! Letsencrypt. ssl в локальной сети-да, а из глобальной сети-нет соединения!

Во-первых, всем доброго времени суток и хочу вас поблагодарить за любую помощь!)) немного странная ситуация с которой уже несколько дней(недель) мучаюсь… проблема заключается в следующем: дано: ubuntu 20.04, nginx 1.17.10, php7.4, домен зареган на reg.ru(в DNS записях ссылается на мой сервер), ip постоянный

Значит необходим мне был сайт на wordpress, поэтому я все необходимые пакеты установил и все завелось, то есть и через ноут который внутри локалки(это важно) и через телефонный инет сайт виделся.

И тут я решил прикрепить ssl от letsencrypt. Решил все сделать через Certbot, прекрасная вещь и ничего сложного, ну как мне казалось на тот момент)…

В итоге я мучился-мучился потому что Certbot не правильно настраивал и решил что сертификаты я просто получу и потом пропишу их в конфиги! В итоге получилось что сертификат встал и делает редирект с http на https, то есть допустим в ноуте, который в (!!!)локальной сети(!!!), я ввожу site.com я попадаю на https[:]//site.com, короче все отлично работает, но если я ввожу тот же сайт на любом другом устройстве которые не в локалкьной сети, то браузер мне выдает что «ошибка соединения с сервером». Если все что касается ssl сертификата закоментировать, то все снова приходит в норму и по http все супер работает и через мобильный инет и через локальную сеть я получаю доступ к сайту…. в логах нет ничего, в роутере ничего не заблокировано, порты проброшены потому что сервер за NAT, фаервол выключен, у провайдера все открыто,ip белый.

конфиг /etc/nginx/sites-available/site.com

# СЕКЦИЯ 1
# Запрет на обращение к серверу по ip-адресу
server {
        listen 80 default_server;
        server_name _;
        return 444;
}

# СЕКЦИЯ 2
# Редирект с www на основное доменное имя
server {
    listen 80;
    server_name www.site.com;
    return 301 http://site.com$request_uri;
}


# СЕКЦИЯ 3
server {
        listen   80;
        root /var/www/site.com;
        index index.php;
        server_name  site.com;

        include snippets/well-known;

        location / {
                try_files $uri $uri/ /index.php?$args;
        }


        rewrite /wp-admin$ $scheme://$host$uri/ permanent;


        error_page 404 /404.html;
        error_page 500 502 503 504 /50x.html;



        location = /50x.html {
                root /usr/share/nginx/www;
        }


        location = /favicon.ico {
                log_not_found off;
                access_log off;
        }

        location = /robots.txt {
                allow all;
                log_not_found off;
                access_log off;
        }


        # Запрещаем доступ к скрытым файлам
        location ~ /\. {
                deny all;
        }

        # Запрещаем доступ к файлам .php в директории uploads
        location ~* /(?:uploads|files)/.*\.php$ {
                deny all;
        }


        location ~ .php$ {
                try_files $uri =404;
                fastcgi_pass unix:/var/run/php/php7.4-fpm.sock;
                fastcgi_index index.php;
                fastcgi_param SCRIPT_FILENAME $document_root$fastcgi_script_name;
                include fastcgi_params;
        }
}



# СЕКЦИЯ 4 SSL
#server {
#       listen 443 ssl http2;
#       server_name site.com www.site.com;
#       root /var/www/site.com;
#       index index.php index.html;

#       if ($host != "site.com") {
#               return 301 https://site.com$request_uri;
#       }

#       include snippets/well-known;

#       ssl_certificate /etc/letsencrypt/live/site.com/fullchain.pem;
#       ssl_certificate_key /etc/letsencrypt/live/site.com/privkey.pem;
#       ssl_trusted_certificate /etc/letsencrypt/live/site.com/chain.pem;
#       ssl_dhparam /etc/ssl/certs/dhparam.pem;

#       ssl_protocols TLSv1 TLSv1.1 TLSv1.2;
#       ssl_ciphers 'ECDHE-ECDSA-CHACHA20-POLY1305:ECDHE-RSA-CHACHA20-POLY1305:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES256-GCM-S>
#       ssl_prefer_server_ciphers on;
#       ssl_stapling on;
#       ssl_stapling_verify on;
#       resolver 8.8.8.8 8.8.4.4 valid=300s;
#       resolver_timeout 30s;

#       access_log /var/log/nginx/site.com.access.log;
#       error_log /var/log/nginx/site.com.error.log;

#       client_max_body_size 100M;

#       autoindex off;




#location / {
#               try_files $uri $uri/ /index.php?$args;
#       }


#       rewrite /wp-admin$ $scheme://$host$uri/ permanent;


#       error_page 404 /404.html;
#       error_page 500 502 503 504 /50x.html;



#       location = /50x.html {
#               root /usr/share/nginx/www;
#       }


#       location = /favicon.ico {
#               log_not_found off;
#               access_log off;
#       }

#       location = /robots.txt {
#               allow all;
#               log_not_found off;
#               access_log off;
#       }


        # Запрещаем доступ к скрытым файлам
#       location ~ /\. {
#               deny all;
#       }
        # Запрещаем доступ к файлам .php в директории uploads
#       location ~* /(?:uploads|files)/.*\.php$ {
#               deny all;
#       }


#       location ~ .php$ {
#       try_files $uri =404;
#       fastcgi_pass unix:/var/run/php/php7.4-fpm.sock;
#       fastcgi_index index.php;
#       fastcgi_param SCRIPT_FILENAME $document_root$fastcgi_script_name;
#       include fastcgi_params;
#       }
#}

1,2,3 секция для http, для https 1,2,4 секция

/etc/nginx/snippets/well-known

location ^~ /.well-known/acme-challenge/ {
  allow all;
  root /var/lib/letsencrypt/;
  default_type "text/plain";
  try_files $uri =404;
}

В итоге когда работает SSL(заветный зеленый замочек) я вижу сайты только внутри локальной сети, но стоит только вернуть все в HTTP все работает супер и в локалке и глобалке)!

В общем у меня кончились идеи, от слова СОВСЕМ!!!Последняя надежда на Ваши советы !!!Всем хорошего дня!

 , , , ,

Maxon4ik ()

nginx ssl Про несколько DNS адресов на одну сущность.

Задался тут вопросом. Вот, например, есть у меня otrs или redmine какой-нибудь и есть несколько разных доменов со своими SSL парами. Могу ли я запилить все эти адреса и ssl пары в один конфиг в nginx? Сущность-то одна. Или надо для каждого домена свой конфиг держать?

Спасибо.

 ,

targitaj ()

Что не так с сертификатом?

У меня Chrome и Firefox на Kubuntu жалуются на сертификат сайта https://26gosuslugi.ru/

Проверил с телефона - норм, попросил друзей - у них с AltLinux тоже норм.

turbid@turbid-pc:~$ apt policy ca-certificates
ca-certificates:
  Installed: 20190110
  Candidate: 20190110
  Version table:
 *** 20190110 500
        500 http://ru.archive.ubuntu.com/ubuntu eoan/main amd64 Packages
        500 http://ru.archive.ubuntu.com/ubuntu eoan/main i386 Packages
        100 /var/lib/dpkg/status
turbid@turbid-pc:~$ sudo update-ca-certificates
[sudo] password for turbid: 
Updating certificates in /etc/ssl/certs...
0 added, 0 removed; done.
Running hooks in /etc/ca-certificates/update.d...

done.
done.

 , ,

Turbid ()

HTTPS внутри LXC контейнера

Я с некоторых пор полюбил LXC контейнеры и стараюсь отдельные задачи размещать в них. Если внутри контейнера есть веб-сервер, то я его обычно делаю на 80 порту, а на хостовой системе у меня стоит nginx, который выполняет роль прокси и в его конфиге стоит что-то вроде

proxy_pass http://10.0.3.4:80;
Дальше я с помощью certbot на хостовой системе получаю для этого конфига letsencrypt сертификат, и у меня сервис запускается по HTTPS и все нормально работает.
Но есть некоторые хитрые сервисы, которые требуют HTTPS прямо внутри контейнера. Если отказаться или сделать вышеописанным способом, это чревато неработоспособностью сервиса. Я могу конечно поставить certbot внутри контейнера, но как мне пробрасывать его на хостовую систему и через какой порт? Делать двойной SSL (и внутри и снаружи по letsencrypt) я уже пробовал. Браузер тогда ругается на бесконечные редиректы. А как по-другому пробросить 443-й порт из контейнера во внешку я не знаю. Помогите, пожалуйста.

 , , ,

Rinaldus ()