Как открыть сайт по https, если подключение к веб-интерфейсу работает по другому порту?

Question

[supablex]

Добрый день!
У нас на сервере развернуто веб приложение кибербэкап (акронис), которое открывается по ссылке https://имя_сервера:9877/. При открытии https страницы я вижу в адресной строке Not secure, в деталях о сертификате вижу какой-то со сроком до 32 года (дефолтный видимо, добавленный при установке). Я запросил у коллег новый ssl сертификат, установил его, но он работает только для https://имя_сервера, а когда добавляешь порт (он при установке программы указывается по дефолту) я снова вижу тот дефолтный сертификат и надпись Not secure.
я с сертификатами совсем не знаком, подскажите, где искать решение проблемы. Можно ли по порту 9877 подключаться по https? там же 443 порт используется. я запутался.

Comments

[Lynn «Кофеман»]

Куда и как ты его поставил?

[Refguser]

Всё можно. Но судя по вопросу (который даже задан без необходимой инфы) ты не справишься. Нужны навыки системного администрирования.
А как минимум умения пользоваться поиском.
https://serverfault.com/questions/828130/how-to-ru...
Как сделать ssl для другого порта на сервере?

[supablex]

Refguser, за сетевые настройки, прокси, фаервол, за выпуск сертификатов у нас отвечают другая команда поддержки. Когда я просил выпустить сертификат я всё вышесказанное описал, но после установки сертификата на сервер, ошибка Not secure при открытии https...:9877 осталась. Я недостаточно хорошо знаю как это работает, думал, что в самом сертификате где-то прописывается порт 9877 и для работы по нему используется сертификат и соединение шифруется. Пока я не понял так ли это, т.к. в другой ветке комментариев ответы разнятся.
Пока ясно, что можно на веб-сервере настроить переадресацию и когда пользователь открывает https:вебсайт, его dns сервер перекинет с 443 порта на порт 9877 и соединение будет зашифровано, верно? Я хочу понять, это я установил сертификат не настроив что-то в IIS или нужна переадресация/перевыпуск сертификата, какие вообще опции есть.

[Lynn «Кофеман»]

> но после установки сертификата на сервер, ошибка Not secure при открытии https...:9877 осталась.

Если сертификат не поменялся значит ты его просто установил не туда (или не перезапустил сервер)

[supablex]

Lynn «Кофеман», в том и дело, что сертификат установлен, в IIS я его вижу и для 443 порта он там выбран. и при открытии https:вебсайт я его вижу в своём браузере. но когда открываю https:вебсайт:9877 , то в моём браузере отображается другой сертификат, наверное предустановленный с самим кибербэкапом.
в том же IIS пытался добавить строку для порта 9877, https, указать для него тот же сертификат, но после этого по адресу https:вебсайт вижу This site can’t be reached, а по адресу https:вебсайт:9877 плашку IIS

[Lynn «Кофеман»]

И какое отношение IIS на 443 порту имеет к вашему приложению на 9877 порту?
Если ваше приложение само обрабатывает https запросы, то и сертификат надо менять в настройках этого приложения.

[Refguser]

supablex, к чему мне эта душещипательная история? Требуй правильной настройки сервера с той "команды", которая за это отвечает. Или увольняйся, если это ты.

Answer 1

[Drno]

Нужно обратиться к Вашему системному администратору, он все настроит.

А вообще - либо менять порт приложения на стандартный, и давать веб серверу нужный сертификат, либо делать реверс прокси, который опять же поймает запрос на стандартном 443 порту, и перенаправит на порт 9877

Сертификат который Вы видите - скорее всего самогенерируемый, который создался при установке. в целом можно использовать и его, просто браузер будет немного ругаться

Answer 2

[Василий Банников]

Нужно изначально при выпуске сертификата порт указывать.

Comments

[Lynn «Кофеман»]

Эм, в сертификатах не указывают порт.

[Refguser]

Вот это новость :)))

[Василий Банников]

Lynn «Кофеман», Порт вполне можно написать в Subject Alternative Name, но хз что будет, если не написать его (не проверял). Сам когда делал серты для нестандартного порта - всегда писал в Subject Alternative Name что-то типа url=https://example.com:8008

[Lynn «Кофеман»]

Василий Банников, ну, написать туда можно любую ересь, но браузеры не проверяют порт и, подозреваю, что записи с портом будут просто бесполезны, т.к. не будут ни на что матчится.

[Василий Банников]

Lynn «Кофеман», а где смотреть, проверяют ли они?
Просто сейчас пытаюсь загуглить - нашёл только то что при наличии SAN-ов должен игнорироваться CN.

subjectAltName must always be used (RFC 3280 4.2.1.7, 1. paragraph). CN is only evaluated if subjectAltName is not present and only for compatibility with old, non-compliant software. So if you set subjectAltName, you have to use it for all host names, email addresses, etc., not just the "additional" ones.

[CityCat4]

Василий Банников, Надо будет попробовать такое вписать, никогда не пробовал и даже не слышал про такое :)

[supablex]

Я так и не понял, при выпуске SSL сертификата указывается заранее порт, для которого он используется или нет?

Answer 3

[Alex G.]

Как вариант, настроить проксирование к веб приложению через прокси сервер. Вот пример с nginx

server {
    listen 443 ssl http2;
    server_name имя_сервера;
    access_log /var/log/nginx/blog.test.ru-ssl-access.log;
    error_log /var/log/nginx/blog.test.ru-ssl-error.log;

    ssl on;
    ssl_certificate /etc/letsencrypt/live/blog.test.ru/fullchain.pem;
    ssl_certificate_key /etc/letsencrypt/live/blog.test.ru/privkey.pem;
    ssl_session_timeout 5m;
    ssl_protocols TLSv1 TLSv1.1 TLSv1.2;
    ssl_dhparam /etc/ssl/certs/dhparam.pem;
    ssl_ciphers 'EECDH+AESGCM:EDH+AESGCM:AES256+EECDH:AES256+EDH';
    ssl_prefer_server_ciphers on;
    ssl_session_cache shared:SSL:10m;

    location /.well-known/acme-challenge/ {
    root /var/www/;
    }
    location / {
    proxy_pass https://имя_сервера:9877; 
    proxy_set_header Host $host;
    proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
    proxy_set_header X-Real-IP $remote_addr;
    }
}

Answer 4

[Vitaly Karasik]

Я запросил у коллег новый ssl сертификат, установил его, но он работает только для https://имя_сервера, а когда добавляешь порт (он при установке программы указывается по дефолту) я снова вижу тот дефолтный сертификат

Это значит что у вас два вебсервера (virtuual site) - один для стандартного порта, другой для вашего. И сертификат установлен для первого. Два варианта:

1 (лучший) - сконфигурировать вебсервер с 443 использовать вашу апликацию
2) - установить сертификат для вашего сервера, с портом 9877