Как настроить конфиг апача с SSL?

Question

Ася @asyaevloeva

Как настроить конфиг апача с SSL?

У меня есть домен (купленный через гугл домены) mydomain.com, и есть сайт на апаче который работает без SSL и доступен по внешнему айпи только через http. Как прописать mydomain.com в конфиге чтобы сайт стал доступен по https?

<VirtualHost *:443>
        ServerName https://my.public.ip.address

        WSGIScriptAlias / /var/www/MyWebsite/MyWebsite.wsgi
        <Directory /var/www/MyWebsite/>
            Order allow,deny
            Allow from all
        </Directory>
        Alias /static /var/www/MyWebsite/app/static
        <Directory /var/www/MyWebsite/app/static/>
            Order allow,deny
            Allow from all
        </Directory>
        ErrorLog ${APACHE_LOG_DIR}/error.log
        LogLevel warn
        CustomLog ${APACHE_LOG_DIR}/access.log combined



</VirtualHost>

Вопрос задан 01 авг. 2023
146 просмотров

Комментировать

Подписаться 1 Простой Комментировать

Пригласить эксперта

Ответы на вопрос 2

5 комментариев

Ася @asyaevloeva Автор вопроса

нужно ли это прописывать в конфиге моего сайта, если то же самое прописано в /etc/apache2/conf-available/ssl-params.conf ?

Написано 02 авг. 2023
CityCat4 @CityCat4 Куратор тега Цифровые сертификаты

Ася, Вот в ssl-params.conf - там скорее всего то же, что у меня в 40_mod_ssl.conf - общие настройки. Сбросьте сюда, что у Вас там прописано и посмотрим.

Написано 02 авг. 2023

Ася @asyaevloeva Автор вопроса

CityCat4,

SSLCipherSuite EECDH+AESGCM:EDH+AESGCM:AES256+EECDH:AES256+EDH
    
    SSLProtocol All -SSLv2 -SSLv3 -TLSv1 -TLSv1.1
    
    SSLHonorCipherOrder On
    
    
    Header always set X-Frame-Options SAMEORIGIN
    
    Header always set X-Content-Type-Options nosniff
    
    # Requires Apache >= 2.4
    
    SSLCompression off
    
    SSLUseStapling on
    
    SSLStaplingCache "shmcb:logs/stapling-cache(150000)"
    
    
    # Requires Apache >= 2.4.11
    
    SSLSessionTickets Off

вот это у меня прописано

а в /etc/apache2/sites-available/MyWebsite.conf когда я пытаюсь добавить ssl ключи:

<VirtualHost *:443>
        ServerName mydomain.com

        WSGIScriptAlias / /var/www/MyWebsite/MyWebsite.wsgi
        <Directory /var/www/MyWebsite/>
            Order allow,deny
            Allow from all
        </Directory>
        Alias /static /var/www/MyWebsite/app/static
        <Directory /var/www/MyWebsite/app/static/>
            Order allow,deny
            Allow from all
        </Directory>
        ErrorLog ${APACHE_LOG_DIR}/error.log
        LogLevel warn
        CustomLog ${APACHE_LOG_DIR}/access.log combined



</VirtualHost>
<VirtualHost *:443>
        DocumentRoot /var/www/MyWebsite
        ServerName mydomain.com
                SSLEngine on
                SSLCertificateFile /var/www/MyWebsite/c742471ced49aa7b.crt
                SSLCertificateKeyFile /var/www/MyWebsite/c742471ced49aa7b.pem
                SSLCertificateChainFile /var/www/MyWebsite/sf_bundle-g2-g1.crt
</VirtualHost>

то апач просто не запускается

Написано 03 авг. 2023

Ася @asyaevloeva Автор вопроса

апач работает если я делаю такой конфиг /etc/apache2/sites-available/MyWebsite.conf но сайт не открывается через https

<VirtualHost *:443>
        ServerName mydomain.com

        WSGIScriptAlias / /var/www/MyWebsite/MyWebsite.wsgi
        <Directory /var/www/MyWebsite/>
            Order allow,deny
            Allow from all
        </Directory>
        Alias /static /var/www/MyWebsite/app/static
        <Directory /var/www/MyWebsite/app/static/>
            Order allow,deny
            Allow from all
        </Directory>
        ErrorLog ${APACHE_LOG_DIR}/error.log
        LogLevel warn
        CustomLog ${APACHE_LOG_DIR}/access.log combined



SSLCertificateFile /etc/letsencrypt/live/mydomain.com/fullchain.pem
SSLCertificateKeyFile /etc/letsencrypt/live/mydomain.com/privkey.pem
Include /etc/letsencrypt/options-ssl-apache.conf
</VirtualHost>

curl https://mydomain.com
curl: (28) Failed to connect to mydomain.com port 443 after 9983 ms: Operation timed out

cat /etc/letsencrypt/options-ssl-apache.conf

# This file contains important security parameters. If you modify this file
# manually, Certbot will be unable to automatically provide future security
# updates. Instead, Certbot will print and log an error message with a path to
# the up-to-date file that you will need to refer to when manually updating
# this file. Contents are based on https://ssl-config.mozilla.org

SSLEngine on

# Intermediate configuration, tweak to your needs
SSLProtocol             all -SSLv2 -SSLv3 -TLSv1 -TLSv1.1
SSLCipherSuite          ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-CHACHA20-POLY1305:ECDHE-RSA-CHACHA20-POLY1305:DHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES256-GCM-SHA384
SSLHonorCipherOrder     off
SSLSessionTickets       off

SSLOptions +StrictRequire

# Add vhost name to log entries:
LogFormat "%h %l %u %t \"%r\" %>s %b \"%{Referer}i\" \"%{User-agent}i\"" vhost_combined
LogFormat "%v %h %l %u %t \"%r\" %>s %b" vhost_common

Написано 03 авг. 2023

Ася @asyaevloeva Автор вопроса

в общем проблема была в том что надо было добавить Inbound rules (для https для 443 порта) в ec2 конфиге

Написано 03 авг. 2023

16 комментариев

Виктор Таран @shambler81

Вообще новечкам и не только рекомендую ставить веб панели там и возможностей больше и богато по настройкам.
aapanel
ispconfig3
vestacp

Написано 01 авг. 2023
Ася @asyaevloeva Автор вопроса

Please enter the domain name(s) you would like on your certificate (comma and/or
space separated) (Enter 'c' to cancel): mydomain.com
Requesting a certificate for mydomain.com

Certbot failed to authenticate some domains (authenticator: apache). The Certificate Authority reported these problems:
Domain: mydomain.com
Type: dns
Detail: no valid A records found for e-asja.com; no valid AAAA records found for mydomain.com

Hint: The Certificate Authority failed to verify the temporary Apache configuration changes made by Certbot. Ensure that the listed domains point to this Apache server and that it is accessible from the internet.

Написано 01 авг. 2023
Ася @asyaevloeva Автор вопроса

не могу разобраться как настроить A records ?

Написано 01 авг. 2023
Drno @Drno

Ася, в ЛК там где домен регистрировали. Настройки ДНС

Написано 01 авг. 2023
Ася @asyaevloeva Автор вопроса

Drno, я попробовала добавить но теперь выпадает ошибка DNS problem: looking up AAAA for mydomain.com: DNSSEC: RRSIGs Missing

Написано 01 авг. 2023
Drno @Drno

Ася, значит добавьте еще и АААА запись там же, это для IPV6

Написано 01 авг. 2023
Ася @asyaevloeva Автор вопроса

Drno, эта ошибка выпадает при наличии обеих А и АААА записей добавленных. причем https://toolbox.googleapps.com/ показывает что А и АААА записи есть

Написано 01 авг. 2023
Drno @Drno

Ася, возможно ДНС на VPSке еще не обновился. это может занимать достаточно много времени

Написано 01 авг. 2023
Ася @asyaevloeva Автор вопроса

Drno, я подождала уже много часов но ничего не изменилось

Написано 02 авг. 2023
Drno @Drno

Ася, покажите команду certbot

Написано 02 авг. 2023
Drno @Drno

Ася, я не понимаю почему 2 разных домена
e-asja.com и mydomain.com

Написано 02 авг. 2023

Ася @asyaevloeva Автор вопроса

исправила *

sudo certbot --apache
Saving debug log to /var/log/letsencrypt/letsencrypt.log
Please enter the domain name(s) you would like on your certificate (comma and/or
space separated) (Enter 'c' to cancel): mydomain.com
Requesting a certificate for mydomain.com

Certbot failed to authenticate some domains (authenticator: apache). The Certificate Authority reported these problems:
  Domain: mydomain.com
  Type:   dns
  Detail: DNS problem: looking up A for mydomain.com: DNSSEC: RRSIGs Missing; DNS problem: looking up AAAA for mydomain.com: DNSSEC: RRSIGs Missing

Hint: The Certificate Authority failed to verify the temporary Apache configuration changes made by Certbot. Ensure that the listed domains point to this Apache server and that it is accessible from the internet.

Some challenges have failed.
Ask for help or search for solutions at https://community.letsencrypt.org. See the logfile /var/log/letsencrypt/letsencrypt.log or re-run Certbot with -v for more details.

Написано 02 авг. 2023

Drno @Drno

Ася, ну он не видит домен. вот и всё
если с ПК и с сервера сделать пинг нужного домена - адрес правильный стоит?
возможно стоит перезапустить сервер...

Написано 02 авг. 2023
Ася @asyaevloeva Автор вопроса

Drno, с сервера делаю curl mydomain.com и все работает (если делаю curl https://mydomain.com curl: (35) error:0A00010B:SSL routines::wrong version number), с пк curl mydomain.com выдает curl: (28) Failed to connect to mydomain.com port 80 after 75005 ms: Operation timed out

Написано 02 авг. 2023
Drno @Drno

Ася, а порты 80 и 443 в фаерволе открыты?
если ufw, то
ufw allow http
ufw allow https

Написано 02 авг. 2023

Ася @asyaevloeva Автор вопроса

Drno,

tcp6       0      0 :::80                   :::*                    LISTEN      4001732/apache2     
tcp6       0      0 :::443                  :::*                    LISTEN      4001732/apache2

и

sudo ufw allow http
Rule added
Rule added (v6)
sudo ufw allow https
Rule added
Rule added (v6)

Написано 02 авг. 2023

Ваш ответ на вопрос

Войдите, чтобы написать ответ

Войти через центр авторизации

Похожие вопросы

Apache HTTP Server

Простой
Почему apache2 может игнорировать ServerName?
- 1 подписчик
- 7 часов назад
- 24 просмотра
1

ответ
Linux

+1 ещё

Средний
Как настроить https у phpMyAdmin и mySQL в докер-контейнере?
- 1 подписчик
- 17 часов назад
- 62 просмотра
1

ответ
PHP

+3 ещё

Простой
Как исправить file_get_contents(): SSL operation failed на Open Server Panel?
- 2 подписчика
- 23 часа назад
- 84 просмотра
1

ответ
Apache HTTP Server

Простой
Редирект с GET запроса на ЧПУ?
- 1 подписчик
- вчера
- 58 просмотров
1

ответ
PHP

+1 ещё

Простой
Почему ошибка 502 после миграции с PHP 8.2 на PHP 8.3?
- 1 подписчик
- 25 апр.
- 124 просмотра
2

ответа
Apache HTTP Server

Простой
Почему перестали работать сайты?
- 1 подписчик
- 23 апр.
- 99 просмотров
0

ответов
Node.js

+3 ещё

Простой
Как настроить WSS на apache, учитывая что https (REST api) работает?
- 1 подписчик
- 21 апр.
- 105 просмотров
1

ответ
Apache HTTP Server

Простой
Apache 404 Not found, The requested URL was not found on this server. Как исправить?
- 1 подписчик
- 20 апр.
- 43 просмотра
1

ответ
Apache HTTP Server

+3 ещё

Простой
Как вэб сервер может узнать имя пользователя домена при входящем запросе от пользователя RPD?
- 4 подписчика
- 19 апр.
- 989 просмотров
1

ответ
Цифровые сертификаты

Простой
Как обновить сертификат через certbot (--manual)?
- 1 подписчик
- 18 апр.
- 47 просмотров
2

ответа
Показать ещё Загружается…

Разработчик хранилища данных (АС Персона)

Сбер • Москва

от 300 000 ₽

Data инженер ДРУГ

Сбер • Москва

от 250 000 ₽

Senior Data Scientist (NLP)

Крибрум • Москва

от 270 000 ₽

Помощь с версткой WPF/XAML

27 апр. 2024, в 16:39

1000 руб./в час

Паррсер-краулер на Go

27 апр. 2024, в 16:38

30000 руб./за проект

Юрист в IT для составления ответа на претензию и представления в суде

27 апр. 2024, в 16:36

6000 руб./за проект

Answer 1 · 2023-08-02 06:16:14

У апача настолько гибкий конфиг, что он позволяет вывернуть себя наизнанку. Поэтому советы будут во многом зависеть от того, что за дистриб у Вас.

Конфиг у апача модульный. Это означает, что для запуска https кроме настроек сайта (ниже) нужно еще настроить апач "вообще". Обычно это делается подключением файла с именем ну например 40_mod_ssl.conf (это он у меня так называется, у Вас будет называться по-другому) - там куча общих настроек.

В конфиге сайта для запуска https делаются следюущие настройки:

<VirtualHost *:443>
    ServerName имя_сайта
    ServerAdmin мыло_админа_сайта

    SSLEngine on
    SSLProtocol all -SSLv2 -SSLv3

    SSLCipherSuite kEECDH+AES:kEDH+AES:kRSA+AES:!aNULL:!DSS:!SSLv2
    SSLHonorCipherOrder on

    SSLCertificateFile "/etc/ssl/certs/файл_сертификата_сайта"
    SSLCertificateKeyFile "/etc/ssl/private/файл_ключа_сертификата_сайта"

    SSLOptions +StdEnvVars +StrictRequire

    CustomLog /var/log/httpd/сайт/access common
    ErrorLog /var/log/httpd/сайт/httpd
</VirtualHost>

SSLCipherSuite и SSLHonorCiperOrder трогать не рекоменду - копипастить как есть. Первый параметр задает шифронаборы, которые поддерживает сайт, второй - что шифронаборы выбирает сервер, а не клиент. Шифрнаборы заданы довольно либерально (это дает возможность подключаться старым браузерам и старым осям). Для усиления безопасности строку можно переписать так:

SSLCipherSuite kEECDH+AES:kEDH+AES:kEECDH+CHACHA20:kEDH+CHACHA20:!aNULL:!DSS:!SSLv2:!SSLv3

Answer 2 · 2023-08-01 17:40:23

Если использовать бесплатные серт от letsncypt, то certbot сам все настроит
https://www.digitalocean.com/community/tutorials/h...

Как настроить конфиг апача с SSL?

Войдите, чтобы написать ответ

Минуточку внимания

Войдите на сайт