Как установить SSL на NGINX?

Question

[V A]

Есть файлы от комодо:

AddTrustExternalCARoot.crt
COMODORSAAddTrustCA.crt
COMODORSADomainValidationSecureServerCA.crt
мойсайт.crt

Еще мне выслали два файла:

мойсайт.ca-bundle
мойсайт.crt

Склеивал их 2 способами

cat мойсайт.crt ComodoHigh-AssuranceSecureServerCA.crt AddTrustExternalCARoot.crt > мойсайт_1.crt
и
cat мойсайт.crt мойсайт.ca-bundle > мойсайт-bundle.crt

Конфиг nginx

user  nginx;
worker_processes  3;

error_log  /var/log/nginx/error.log crit;
pid        /var/run/nginx.pid;

worker_rlimit_nofile 200000;
events {
    worker_connections  100000;
    multi_accept on;
}


http {
    include       /etc/nginx/mime.types;
    default_type  application/octet-stream;

    log_format  main  '$remote_addr - $remote_user [$time_local] "$request" '
                      '$status $body_bytes_sent "$http_referer" '
                      '"$http_user_agent" "$http_x_forwarded_for"';

    #access_log  /var/log/nginx/access.log  main;
     access_log off;

    keepalive_timeout  30 10;
   

    ##
    sendfile        on;
    tcp_nopush      on;
    tcp_nodelay     on;
    server_tokens   off;
    gzip            on;
    gzip_static     on;
    gzip_comp_level 9;
    gzip_min_length 1100;
    gzip_buffers    64 64k;
    gzip_vary  on;
    gzip_http_version 1.1;
    gzip_disable "MSIE [1-6]\.(?!.*SV1)";
    gzip_types  text/plain text/css image/png image/gif image/jpeg application/x-javascript text/xml application/xml application/xml+rss text/javascript application/json application/javascript text/x-js;
    reset_timedout_connection       on;     # RAS.SU adon
    lingering_time     30;
    lingering_timeout  3;
    open_file_cache          max=50000  inactive=20s;
    open_file_cache_valid    30s;
    open_file_cache_min_uses 2;
    open_file_cache_errors   on; 
    log_not_found off;
    fastcgi_buffers 512 256k;
    fastcgi_buffer_size 256k;
    # Load config files from the /etc/nginx/conf.d directory
    client_max_body_size 512M;



    #gzip  on;
    #gzip_comp_level 5;
    #gzip_types text/plain text/css application/json application/x-javascript text/xml application/xml application/xml+rss text/javascript;

    include /etc/nginx/conf.d/*.conf;

server {
    listen              443;
    server_name         мойсайт.ru www.мойсайт.ru;
    ssl_certificate     /etc/ssl/моцсацт-ssl-bundle.crt;
    ssl_certificate_key /etc/ssl/private.key;
    ssl_protocols       TLSv1 TLSv1.1 TLSv1.2;
    ssl_ciphers         HIGH:!aNULL:!MD5;
}

}

Выдает ошибку

nginx: [emerg] bind() to 0.0.0.0:443 failed (98: Address already in use)

Как быть?

Answer 1

[Nikon_NLG]

Скорее всего 443 порт уже слушает apache или кто-то ещё.
sudo netstat -luntp|grep 443
покажет вам pid и имя процесса, кто занял порт.

Comments

[V A]

Спасибо, вот ответ команды:
tcp 0 0 :::443 :::* LISTEN 21270/httpd

[V A]

Это Apache? Но я вроде закоментил и удалил настройки для 443

[Nikon_NLG]

Алексей Б: Это apache. Т.е. вам надо или убрать ssl у апача ( /etc/httpd/listen.conf ports.conf или что-то такое. Попробуйте grep -R Listen /etc/httpd/ или grep -R Listen /etc/apache2/ ), или вообще его остановить, если вы его не используете.

[Nikon_NLG]

Алексей Б: А restart сделали апача?

[V A]

Nikon_NLG: рестарт не делал

[Nikon_NLG]

Алексей Б: А как по вашему apache узнает что ему больше не надо слушать 443 порт? :) Перезапустите, выполните netstat ещё раз. Если в ответ ничего не выдаст - значит порт свободен и nginx может начать его слушать

[V A]

Nikon_NLG: в httpd есть папка conf.d в ней ssl.conf, ssl.conf.rpmsave, и много других (listen.cong и ports.conf нету)

[Nikon_NLG]

Алексей Б: Во-первых, проверьте что у вас нигде нет Listen 443 . Если есть, закомментируйте.
grep -R Listen /etc/httpd/
или
grep -R Listen /etc/apache2/
Во-вторых, сделайте apacectl -t или apache2ctl -t , это покажет вам ошибки апача, если они есть. Если ошибок не будет, сделайте apachectl restart или apache2ctl restart
В-третьих, sudo netstat -luntp|grep 443 . Если в ответ ничего не покажет, значит порт свободен, и можно запускать nginx

[V A]

Nikon_NLG: спасибо, вот только теперь проблема такая встала:

Ошибка подключения SSL

ERR_SSL_PROTOCOL_ERROR

Не удается создать безопасное соединение с сервером. На сервере могла возникнуть проблема, или необходим сертификат клиентской аутентификации, который у вас отсутствует.

[Nikon_NLG]

Алексей Б: server {
listen 443 ssl;
}
Вы ssl забыли указать после порта

[V A]

Все включил, через SSLchecker проверил, все норм, но теперь 404 вылазиет)

[V A]

Nikon_NLG: да, я не заметил

[Nikon_NLG]

Алексей Б: Ну, с 404 уже надо предметно смотреть. Если вы привели весь конфиг, то в блоке c ssl у вас сервер ничего не делает. Т.е. он порт открыл, сертификат отдал, и всё. Вам надо указать proxy_pass, если вы хотите отправить все запросы дальше на apache, или fcgi_pass, если у вас php-fpm, и вы хотите сразу на него запросы отправлять.

[V A]

Nikon_NLG: спасибо, у меня на сервере несколько сайтов,
вот конфиг того (он в папке conf.d) на который ставлю SSL.

server {
listen 80;
server_name сайт.ru www.сайт.ru;
server_name_in_redirect off;
access_log /var/log/nginx/сайт.access.log main;
index index.php;
proxy_set_header X-Real-IP $remote_addr;
proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
proxy_set_header Host $host;
client_max_body_size 1024M;
client_body_buffer_size 4M;
root /var/www/newshop;
error_log /var/log/nginx/сайт.error.log;

if ($host = 'старыйсайт.ru' ) {
rewrite ^(.*)$ http://сайт.ru$1 permanent;
}

location / {
try_files $uri $uri/ @bitrix;
}

location ~ \.php$ {
try_files $uri @bitrix;
fastcgi_pass unix:/var/run/php5-fpm.sock;
fastcgi_param SCRIPT_FILENAME $document_root$fastcgi_script_name;
#fastcgi_param PHP_VALUE 'session.save_path = "/temp/car"';
include fastcgi_params;
}

location @bitrix {
fastcgi_pass unix:/var/run/php5-fpm.sock;
include fastcgi_params;
fastcgi_param SCRIPT_FILENAME $document_root/bitrix/urlrewrite.php;
}

# location ^~ /bitrix/admin/ {
# try_files $uri @bitrixadm;
# fastcgi_pass unix:/var/run/php5-fpm.sock;
# fastcgi_param SCRIPT_FILENAME $document_root$fastcgi_script_name;
# include fastcgi_params;
# }
# location @bitrixadm{
# fastcgi_pass unix:/var/run/php5-fpm.sock;
# include fastcgi_params;
# fastcgi_param SCRIPT_FILENAME $document_root/bitrix/admin/404.php;
# }

location = /favicon.ico {
log_not_found off;
access_log off;
}

location = /robots.txt {
allow all;
log_not_found off;
access_log off;
}
location ~* ^.+\.(jpg|jpeg|gif|png|svg|js|css|mp3|ogg|mpe?g|avi|zip|gz|bz2?|rar)$ {
access_log off;
expires max;
error_page 404 = /404.html;
}

#location ~ (/\.ht|/bitrix/modules|/upload/support/not_image|/bitrix/php_interface) {
# deny all;
#}

location ~ /.svn/ {
deny all;
}

location ~ /\.ht {
deny all;
}

}

[Nikon_NLG]

Алексей Б: Скопируйте всё что ниже server 80 в блок server{} с ssl.
Только не забудьте rewrite ^(.*)$ http://сайт.ru$1 permanent; поменять на https://сайт.ru , или вообще удалить этот rewrite.
По сути, всю работу делают блоки location, именно они вам и нужны.

[V A]

Nikon_NLG: спасибо огромное, вы очень помогли, даже незнаю как вас отблагодарить.

[V A]

Nikon_NLG: еще вопрос небольшой, очень долго грузится страница по https, куда смотреть?

[Nikon_NLG]

Алексей Б: Да не за что. Для начала откройте консоль разработчика в браузере и посмотрите что именно долго грузится - главная страница или какие-то css/картинки. Если главная, то тут только смотреть в логи nginx или php, вдруг где-то что-то недонастроено. Лишние редиректы, или что-то такое.

[V A]

Nikon_NLG: да посмотрел, из админки главная грузится долго.
Если как клиент, то нормально. Еще нет зеленого замка (в хроме, где урл) , а в мозиле восклицательый знак и пишет незащищенное соединение "Соединение с этим веб-сайтом, так как он содержит незашифрованные элементы, (такие как изображения) или шифрование является недостаточно сильным

[Nikon_NLG]

Алексей Б: Увы, как я уже говорил, это надо целенаправленно ковырять. По поводу восклицательного знака - попробуйте через ssllabs.com/ssltest посмотреть, может там что-то ценное увидите