Как настроить сертификат CF для поддомена на Oracle Cloud?

Question

[Простой Человек]

Есть основной домен и поддомены на определённом IP, на определённом хостинге (dedicated), записями которых управляет Cloudflare.
И есть Oracle Cloud, на котором располагается Zabbix Server и выделен поддомен от основного домена, но естественно с A-записью на другой IP.
Создал сертификат с ключом в разделе Origin, скопировал на сервер, прописал в Apache.

Сейчас выдаёт ошибку Error 523 - origin is unreachable

Как заставить работать Cloudflare с сертификатом Origin в Oracle Cloud?
Или как сделать https с проксированием через Cloudflare?

Comments

[Valentin Barbolin]

If you're the owner of this website:
Check your DNS Settings. A 523 error means that Cloudflare could not reach your host web server. The most common cause is that your DNS settings are incorrect. Please contact your hosting provider to confirm your origin IP and then make sure the correct IP is listed for your A record in your Cloudflare DNS Settings page.

Похоже что твой сервер не доступен из мира.

[Простой Человек]

Andrey Barbolin, ну как же недоступен, если я на него захожу по SSH, по SFTP, даже на Zabbix (только по IP)

[Valentin Barbolin]

Простой Человек,
> даже на Zabbix (только по IP)
http или https ?

[Простой Человек]

Andrey Barbolin, по IP, а значит http, нельзя же привязывать сертификаты к IP.

[Valentin Barbolin]

Простой Человек,
> нельзя же привязывать сертификаты к IP.
Можно привязать любой сертификат, другой вопрос как к этому отнесется браузер. Ругаться будет, но зайти по https получиться.

> по IP, а значит http
Порт 80 надеюсь? Какой режим SSL/TLS - Overview включен? При таком проксировании должен быть flexible.

[Простой Человек]

Andrey Barbolin, порт да - 80, режим - всё как оф. документации Full Strict

[Valentin Barbolin]

> режим имеется ввиду в CF?
да

> Всё как оф. документации Full Strict
Full (strict)
Encrypts end-to-end, but requires a trusted CA or Cloudflare Origin CA certificate on the server

То есть, этот режим требует установить на сервер сертификат доверенного центра.

[Простой Человек]

Andrey Barbolin, ну так я о чём ...
Я ж создал в разделе Origin, скопировал на сервер, прописал в Apache сертификат и ключ.

[Valentin Barbolin]

Простой Человек, Если зайти на сервер по https:// IP ? Че браузер говорит?

[Простой Человек]

Andrey Barbolin, Не удается открыть эту страницу

[Valentin Barbolin]

Простой Человек, Скрин можно? IP в URL можно замазать.

[Простой Человек]

Andrey Barbolin,

[Valentin Barbolin]

Простой Человек, Тут даже рукопожатие не прошло. Надо смотреть на стороне сервера почему не доступен 443 порт.
Модуль ssl в apache загрузил?
Firewall?
Кто-то вообще слушает 443 порт?

[Простой Человек]

Andrey Barbolin,

netstat -plunt
Active Internet connections (only servers)
Proto Recv-Q Send-Q Local Address           Foreign Address         State       PID/Program name
tcp        0      0 0.0.0.0:10050           0.0.0.0:*               LISTEN      16461/zabbix_agentd
tcp        0      0 0.0.0.0:10051           0.0.0.0:*               LISTEN      25739/zabbix_server
tcp        0      0 0.0.0.0:22              0.0.0.0:*               LISTEN      1786/sshd: /usr/sbi
tcp        0      0 0.0.0.0:111             0.0.0.0:*               LISTEN      1/init
tcp        0      0 127.0.0.53:53           0.0.0.0:*               LISTEN      780/systemd-resolve
tcp        0      0 127.0.0.1:3306          0.0.0.0:*               LISTEN      14949/mariadbd
tcp6       0      0 :::10050                :::*                    LISTEN      16461/zabbix_agentd
tcp6       0      0 :::10051                :::*                    LISTEN      25739/zabbix_server
tcp6       0      0 :::443                  :::*                    LISTEN      32540/apache2
tcp6       0      0 :::22                   :::*                    LISTEN      1786/sshd: /usr/sbi
tcp6       0      0 :::111                  :::*                    LISTEN      1/init
tcp6       0      0 :::80                   :::*                    LISTEN      32540/apache2
udp        0      0 127.0.0.53:53           0.0.0.0:*                           780/systemd-resolve
udp        0      0 10.0.0.25:68            0.0.0.0:*                           778/systemd-network
udp        0      0 0.0.0.0:111             0.0.0.0:*                           1/init
udp        0      0 127.0.0.1:161           0.0.0.0:*                           16327/snmpd
udp6       0      0 :::111                  :::*                                1/init
udp6       0      0 ::1:161                 :::*                                16327/snmpd

a2enmod ssl
Considering dependency setenvif for ssl:
Module setenvif already enabled
Considering dependency mime for ssl:
Module mime already enabled
Considering dependency socache_shmcb for ssl:
Module socache_shmcb already enabled
Module ssl already enabled

ufw

ufw status
Status: active

To                         Action      From
--                         ------      ----
22/tcp                     ALLOW       Anywhere
22                         ALLOW       Anywhere
80/tcp                     ALLOW       Anywhere
443                        ALLOW       Anywhere
10050/tcp                  ALLOW       Anywhere
10051/tcp                  ALLOW       Anywhere
Apache Full                ALLOW       Anywhere
53                         ALLOW       Anywhere
2053                       ALLOW       Anywhere
2083                       ALLOW       Anywhere
2087                       ALLOW       Anywhere
2096                       ALLOW       Anywhere
8443                       ALLOW       Anywhere
22/tcp (v6)                ALLOW       Anywhere (v6)
22 (v6)                    ALLOW       Anywhere (v6)
80/tcp (v6)                ALLOW       Anywhere (v6)
443 (v6)                   ALLOW       Anywhere (v6)
10050/tcp (v6)             ALLOW       Anywhere (v6)
10051/tcp (v6)             ALLOW       Anywhere (v6)
Apache Full (v6)           ALLOW       Anywhere (v6)
53 (v6)                    ALLOW       Anywhere (v6)
2053 (v6)                  ALLOW       Anywhere (v6)
2083 (v6)                  ALLOW       Anywhere (v6)
2087 (v6)                  ALLOW       Anywhere (v6)
2096 (v6)                  ALLOW       Anywhere (v6)
8443 (v6)                  ALLOW       Anywhere (v6)

пробовал даже вообще отключать

[Valentin Barbolin]

Простой Человек, Попробуй поправить /etc/apache2/ports.conf
Listen 0.0.0.0:443

[Простой Человек]

Listen 80

<IfModule ssl_module>
        Listen 0.0.0.0:443
</IfModule>

<IfModule mod_gnutls.c>
        Listen 0.0.0.0:443
</IfModule>

эффекта нет.

Да и вот когда крутил мутил что-то, то в какой-то момент apache выдал ошибку в логах

myhostname.subnet11212101.vcn11212100.oraclevcn.com:443:0 server certificate does NOT include an ID which matches the server name

[Valentin Barbolin]

Простой Человек, В конфигурации apache прописан ServerName ?

[Простой Человек]

Andrey Barbolin,

cat /etc/apache2/sites-enabled/000-default.conf
<VirtualHost *:80>
        # The ServerName directive sets the request scheme, hostname and port that
        # the server uses to identify itself. This is used when creating
        # redirection URLs. In the context of virtual hosts, the ServerName
        # specifies what hostname must appear in the request's Host: header to
        # match this virtual host. For the default virtual host (this file) this
        # value is not decisive as it is used as a last resort host regardless.
        # However, you must set it for any further virtual host explicitly.
        ServerName zabbix.mydomain.com
        ServerAlias www.zabbix.mydomain.com

        ServerAdmin admin@mydomain.com
        DocumentRoot /usr/share/zabbix

        # Available loglevels: trace8, ..., trace1, debug, info, notice, warn,
        # error, crit, alert, emerg.
        # It is also possible to configure the loglevel for particular
        # modules, e.g.
        #LogLevel info ssl:warn

        ErrorLog ${APACHE_LOG_DIR}/error.log
        CustomLog ${APACHE_LOG_DIR}/access.log combined

 RewriteEngine on
 RewriteCond %{SERVER_NAME} =zabbix.mydomain.com [OR]
 RewriteCond %{SERVER_NAME} =www.zabbix.mydomain.com
 RewriteRule ^ https://%{SERVER_NAME}%{REQUEST_URI} [END,NE,R=permanent]

        # For most configuration files from conf-available/, which are
        # enabled or disabled at a global level, it is possible to
        # include a line for only one particular virtual host. For example the
        # following line enables the CGI configuration for this host only
        # after it has been globally disabled with "a2disconf".
        #Include conf-available/serve-cgi-bin.conf
</VirtualHost>

<VirtualHost *:443>

        ServerName zabbix.mydomain.com
        ServerAlias www.zabbix.mydomain.com

        ServerAdmin admin@mydomain.com
        DocumentRoot /usr/share/zabbix

        ErrorLog ${APACHE_LOG_DIR}/error.log
        CustomLog ${APACHE_LOG_DIR}/access.log combined

        SSLEngine on
        SSLCertificateFile /etc/ssl/zabbix/zabbix_cert.crt
        SSLCertificateKeyFile /etc/ssl/zabbix/zabbix_private_key.key

</VirtualHost>
# vim: syntax=apache ts=4 sw=4 sts=4 sr noet

[Valentin Barbolin]

Простой Человек, Конфиг рабочий.

Покажи
sudo ss -tupl | grep https
sudo ss -tupl | grep http

[Простой Человек]

Andrey Barbolin,

ss -tupl | grep https
tcp   LISTEN 0      511             0.0.0.0:https               0.0.0.0:*    users:(("apache2",pid=35321,fd=5),("apache2",pid=35320,fd=5),("apache2",pid=35319,fd=5),("apache2",pid=35318,fd=5),("apache2",pid=35317,fd=5),("apache2",pid=35316,fd=5))

ss -tupl | grep http
tcp   LISTEN 0      511             0.0.0.0:https               0.0.0.0:*    users:(("apache2",pid=35321,fd=5),("apache2",pid=35320,fd=5),("apache2",pid=35319,fd=5),("apache2",pid=35318,fd=5),("apache2",pid=35317,fd=5),("apache2",pid=35316,fd=5))

tcp   LISTEN 0      511                   *:http                      *:*    users:(("apache2",pid=35321,fd=4),("apache2",pid=35320,fd=4),("apache2",pid=35319,fd=4),("apache2",pid=35318,fd=4),("apache2",pid=35317,fd=4),("apache2",pid=35316,fd=4))

[Valentin Barbolin]

Простой Человек, Порт apache слушает.
Давай посмотрим на iptables

sudo iptables -t nat -nvL
sudo iptables -nvL

[Простой Человек]

Andrey Barbolin,

iptables -t nat -nvL
Chain PREROUTING (policy ACCEPT 0 packets, 0 bytes)
 pkts bytes target     prot opt in     out     source               destination

Chain INPUT (policy ACCEPT 0 packets, 0 bytes)
 pkts bytes target     prot opt in     out     source               destination

Chain OUTPUT (policy ACCEPT 0 packets, 0 bytes)
 pkts bytes target     prot opt in     out     source               destination

Chain POSTROUTING (policy ACCEPT 0 packets, 0 bytes)
 pkts bytes target     prot opt in     out     source               destination

iptables -nvL

[Valentin Barbolin]

Простой Человек, Вот и проблемка
После вот этого остальные правила не отрабатывают
629 39390 REJECT all -- * * 0.0.0.0/0 0.0.0.0/0 reject-with icmp-host-prohibited

и это правило соответственно тоже
443 ALLOW Anywhere

Удаляй REJECT

[Простой Человек]

Andrey Barbolin, ВАЙ Красавчик! :)
БлагоДарю!

[Простой Человек]

Andrey Barbolin, добавь отдельным комментарием, отмечу решением.

Answer 1

[Valentin Barbolin]

Проблемка была в Firewall

После вот этого остальные правила не отрабатывают
629 39390 REJECT all -- * * 0.0.0.0/0 0.0.0.0/0 reject-with icmp-host-prohibited

и это правило соответственно тоже
443 ALLOW Anywhere