Создание самоподписанного сертификата?

Question

[The_Immortal]

Неприлично долго пытаюсь побороть создание корректного самоподписанного сертификата.

При попытке достучаться к локальному сайту по https получаю

ERR_SSL_KEY_USAGE_INCOMPATIBLE

- сиё выдает и MS Edge и Google Chrome на Win 11.

Нашел решение связанное с корректным указанием keyUsage (также об этом пишут на MS-ресурсе).
Генерирую ключ-сертификат из-под WSL2 (Ubuntu 22.04.5 LTS):

openssl req -x509 -nodes -days 365 -newkey rsa:2048 -keyout nextcloud.key -out nextcloud.crt -config nextcloud.cnf -extensions v3_req

nextcloud.cnf

[req]
distinguished_name = req_distinguished_name
x509_extensions = v3_req
prompt = no

[req_distinguished_name]
# C = US
# ST = California
# L = Los Angeles
# O = Internet Corporation for Assigned Names and Numbers
# OU = IT Operations
CN = nextcloud.local

[v3_req]
keyUsage = nonRepudiation, digitalSignature, keyEncipherment
extendedKeyUsage = serverAuth
subjectAltName = @alt_names

[alt_names]
DNS.1 = nextcloud.local
IP.1 = 172.26.223.13

Импортирую сертификат на Win.
И по итогу при доступе к https://nextcloud.local все равно имею ту ошибку.

Подскажите, пожалуйста, где косяк?

UPD
Nextcloud поднят на WSL через docker.

docker-compose.yml

version: '3'

services:
  db:
    image: mariadb
    container_name: nextcloud_db
    restart: always
    environment:
      MYSQL_ROOT_PASSWORD: example_root_password
      MYSQL_PASSWORD: example_password
      MYSQL_DATABASE: nextcloud
      MYSQL_USER: nextcloud
    volumes:
      - db_data:/var/lib/mysql

  app:
    image: nextcloud
    container_name: nextcloud_app
    restart: always
    environment:
      MYSQL_PASSWORD: example_password
      MYSQL_DATABASE: nextcloud
      MYSQL_USER: nextcloud
      MYSQL_HOST: db
    volumes:
      - nextcloud_data:/var/www/html
    depends_on:
      - db

  proxy:
    image: nginx
    container_name: nginx_proxy
    ports:
      - "80:80"
      - "443:443"
    volumes:
      - ./certs:/etc/nginx/certs
      - ./nginx.conf:/etc/nginx/nginx.conf
      - nextcloud_data:/var/www/html
    depends_on:
      - app

volumes:
  db_data:
  nextcloud_data:

В /certs находятся сгенерированные nextcloud.key и nextcloud.crt

nginx.conf

events {}

http {
    server {
        listen 80;
        server_name nextcloud.local;

        location / {
            proxy_pass http://nextcloud_app;
            proxy_set_header Host $host;
            proxy_set_header X-Real-IP $remote_addr;
            proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
            proxy_set_header X-Forwarded-Proto $scheme;
        }
    }

    server {
        listen 443 ssl;
        server_name nextcloud.local;

        ssl_certificate /etc/nginx/certs/nextcloud.crt;
        ssl_certificate_key /etc/nginx/certs/nextcloud.key;

        location / {
            proxy_pass http://nextcloud_app;
            proxy_set_header Host $host;
            proxy_set_header X-Real-IP $remote_addr;
            proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
            proxy_set_header X-Forwarded-Proto $scheme;
        }
    }
}

Answer 1

[CityCat4]

Что-то мне подсказывает, что Вы получаете результатом выполнения Вашей команды - CSR, а вовсе не сертификат :) Откройте файл сертификата текстовым редактором - что видите? вот так
-----BEGIN CERTIFICATE REQUEST-----
или вот так
-----BEGIN CERTIFICATE-----?

Comments

[The_Immortal]

-----BEGIN CERTIFICATE-----
MIIDOjCCAiKgAwIBAgIUf+AcT6OallM6r92o5uaOie4eb+0wDQYJKoZIhvcNAQEL
...
BCrSWOJe7945zNnnGh4=
-----END CERTIFICATE-----

Answer 2

[SunTechnik]

По Вашему тексте непонятно, где запущен nextcloud, на Windows или Ubuntu.

В списке шагов нет собственно настройки nextcloud на использование данного сертификата.

Порядок установки сертификата зависит от того, есть ли reverseproxy перед nextcloud, какой web сервер используется, на чем все запущено...

Comments

[The_Immortal]

Благодарю за внимание. Добавил информацию по поводу NC.

[SunTechnik]

The_Immortal,
У Вас же в nginx.conf указано, где лежит файл сертификата и приватный ключ от него.
Файлы поменяли ?

Или вот по этому ссылке попробуйте:
https://knowledgebase.45drives.com/kb/kb450428-nex...
Замена сертификата, путем входа через http.

[The_Immortal]

SunTechnik,

У Вас же в nginx.conf указано, где лежит файл сертификата и приватный ключ от него.
Файлы поменяли ?

Так я же написал, что актуальные сертификат и ключ лежат в /certs. А каталог этот в свою очередь маунтится в nginx:

...
    volumes:
      - ./certs:/etc/nginx/certs

Или Вы о другом?

[SunTechnik]

Так как пока непонятно в чем дело:
> Так я же написал, что актуальные сертификат и ключ лежат в /certs
( Тут точка отсутствует перед / )
Команду openssl запускали, находясь в каком каталоге ?

Nginx берет сертификаты из каталога, где находится его docker файл, в подкаталоге ./certs

Пока две верcии:
либо сгенерили не то, либо nginx берет старые файлы, а не те, что сгенерили.

[The_Immortal]

SunTechnik,

Команду openssl запускали, находясь в каком каталоге ?

~/nextcloud-https/certs$ openssl req -x509 -nodes -days 365 -newkey rsa:2048 -keyout nextcloud.key -out nextcloud.crt -config nextcloud.cnf -extensions v3_req

~/nextcloud-https$ ls
certs  docker-compose.yml  nginx.conf
~/nextcloud-https$ ls ./certs
nextcloud.cnf  nextcloud.crt  nextcloud.key

Nginx берет сертификаты из каталога, где находится его docker файл, в подкаталоге ./certs

Ну да, все так. И если провалиться в контейнер Nginx'а, то там эти файлы имеются:

$ sudo docker exec -it nginx_proxy /bin/bash
root@55cb00181b33:/# ls etc/nginx/certs/
nextcloud.cnf  nextcloud.crt  nextcloud.key

либо сгенерили не то, либо nginx берет старые файлы, а не те, что сгенерили

А старых файлов и нет нигде...

[SunTechnik]

А контейнер, после перегенерации сертификата перезапускали ? ( Ну или хотя бы сигнал на перечитывание конфига).

Тестовый nginx, с сертификатами сгенеренными приведенной командой, у меня открылся нормально.

Перечитать конфиг:

docker exec nginx -s reload

[The_Immortal]

SunTechnik,

А контейнер, после перегенерации сертификата перезапускали ?

На всякий делал так:

$ sudo docker-compose down
$ sudo docker-compose up -d

Перечитал конфиг

$ sudo docker exec -it nginx_proxy nginx -s reload
2024/10/14 16:02:40 [notice] 58#58: signal process started

И чудо! Сертификат подхватился!
docker-compose down было недостаточно? Оно же по идее вообще удаляет контейнеры и все, что было с ними связано.

[SunTechnik]

The_Immortal,
По идее, docker compose down должно быть достаточно.

Смотреть по docker ps, что реально происходит и какое время работы контейнеров...