Как подключить SSL-сертификат(-ы) ко всем виртуалхостам с помощью Webmin?

Question

Den Alex Smith @netcrox

Всё время женат

Как подключить SSL-сертификат(-ы) ко всем виртуалхостам с помощью Webmin?

В Вебмине существует модуль SSL Encryption. Строго говоря, для меня почти тёмный лес. Возможно ли, и, если да, то как установить/настроить сертификаты от certbot для всех доменов/поддоменов, работающих на сервере?

Веб сервер nginx+apache2

Вопрос задан более трёх лет назад
839 просмотров

Комментировать

Подписаться 1 Средний Комментировать

Помогут разобраться в теме Все курсы

Яндекс Практикум

Python-разработчик расширенный

14 месяцев

Далее
Яндекс Практикум

Мидл фронтенд-разработчик

5 месяцев

Далее
Яндекс Практикум

DevOps для эксплуатации и разработки

6 месяцев

Далее

Пригласить эксперта

Ответы на вопрос 1

18 комментариев

Den Alex Smith @netcrox Автор вопроса

Тут выделенный сервер (не виртуальный хостинг), проблема в том, что не хочется завалить рабочие сайты (многие с поддоменами) одним неловким движением.

Написано более трёх лет назад

Сослан Хлоев @hloe0xff

У самого VPSка с nginx и wildcard сертификатом от LetsEncrypt. У обоих серверов вроде есть проверка конфигурации на ошибки. Насчет apache не скажу, но nginx руганется в случае косяков с сертификатами. Acme.sh это только средство для получения сертификата. Мой конфиг nginx:

spoiler

listen 443 ssl http2 default_server;
  server_name domain.com www.domain.com;
  ssl_session_cache shared:SSL:50m;
  ssl_session_timeout 1d;
  ssl_session_tickets off;
  ssl_certificate /path/to/fullchain.cer;
  ssl_trusted_certificate /path/to/fullchain.cer;
  ssl_certificate_key /path/to/cert.key;
  ssl_dhparam /path/to/dhparam.pem;
  ssl_protocols TLSv1.2;
  ssl_prefer_server_ciphers on;
  ssl_ciphers 'ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-CHACHA20-POLY1305:ECDHE-RSA-CHACHA20-POLY1305:ECDHE-ECDSA-AES256-SHA384:ECDHE-RSA-AES256-SHA384';
  ssl_ecdh_curve secp384r1:secp521r1;
  ssl_stapling on;
  ssl_stapling_verify on;
  ssl_verify_depth 3;
  resolver 8.8.8.8 8.8.4.4 valid=300s;
  resolver_timeout 10s;
  add_header Strict-Transport-Security "max-age=15768000; includeSubDomains; preload";
  add_header X-Farme-Options "DENY";
  add_header X-Content-Type-Options "nosniff";
  add_header X-XSS-Protection "1; mode=block";
  charset utf-8;
  server_tokens off;
  root /path/to/root;

Написано более трёх лет назад

Den Alex Smith @netcrox Автор вопроса

А есть где-нибудь под рукой ссылки на пошаговое разжевывание, которыми сам руководствовался?

Написано более трёх лет назад
Сослан Хлоев @hloe0xff
Я получал сертификат в ручном режиме. Опишу как делал.
Офф. wiki
Собственно ставим acme.sh.
Запрашиваем сертификат
acme.sh --issue -d example.com -d *.example.com --dns --yes-I-know-dns-manual-mode-enough-go-ahead-please

В ответ нас попросят добавить пару записей TXT в DNS. Добавляем и проверяем их.
Потом запускаем клиент с опцией --renew.
acme.sh --renew -d example.com -d *.example.com --yes-I-know-dns-manual-mode-enough-go-ahead-please

Идет проверка DNS записей и получение сетификатов. Сохраняются в домашней директории пользователя в скрытом каталоге .acme.sh/domain_name/

В основном использовал оф. доки. Также имеется возможность работать по DNS API для автоматизации. Список поддерживаемых хостеров на хабе проекта.
Написано более трёх лет назад
Den Alex Smith @netcrox Автор вопроса

Этим путем не вышло, установил по похожей инструкции отсюда.

Все заработало. Но когда установил сертификат для другого домена (на том же IP), браузеры стали ругаться на первый, мол, у него сертификат от второго используется. Уже задолбался проверять, физически сами сертификаты и ключи разнесены по разным папкам, и в конфигах nginx перехлестов нет, скачивал себе и открывал сертификаты .cer — владельцы правильные, в чем может быть загвоздка? Куда копать?

Написано более трёх лет назад
Сослан Хлоев @hloe0xff

Den Alex Smith, nginx и apache используются в связке? Конфиг nginx?

Написано более трёх лет назад

Den Alex Smith @netcrox Автор вопроса

У обоих такой:
(ессно, имена sitename.ru и othersite.net)

server {
        listen 80;
        server_name sitename.ru www.sitename.ru;
	rewrite ^(.*) https://$host$1 permanent;
}
server {
		listen 443 ssl;
		server_name sitename.ru;

		ssl_certificate /etc/nginx/ssl/sitename.ru/sitename.ru.crt;
		ssl_certificate_key /etc/nginx/ssl/sitename.ru/sitename.ru.key;
		include /etc/nginx/templates/ssl.conf;

		root /home/users/sitename/sitename.ru/www;
		access_log /var/log/nginx/sitename.ru.access.log;
		error_log /var/log/nginx/sitename.ru.error.log info;

                error_page 404 = @fallback;
                location / {
                        proxy_pass http://127.0.0.1:8080;
                        proxy_set_header Host $host;
                        proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
                        proxy_set_header X-Real-IP $remote_addr;
                }
                location ~* ^.+\.(jpg|jpeg|gif|png|svg|js|css|mp3|ogg|mpe?g|avi|zip|gz|bz2?|rar|swf)$ {
                        access_log /dev/null;
                        error_log /dev/null crit;
                }
                location @fallback {
                        proxy_pass http://127.0.0.1:8080;
                        proxy_set_header Host $host;
                        proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
                        proxy_set_header X-Real-IP $remote_addr;
                }
}

Написано более трёх лет назад

Den Alex Smith @netcrox Автор вопроса

hloe0xff, А Апача не пришлось трогать, там тоже идентичные конфиги.

Написано более трёх лет назад
Сослан Хлоев @hloe0xff

Den Alex Smith,
помнится где то оветовали вместо rewrite делать return 301 https://$host$request_uri;
думаю еще лучше использовать access_log off; вместо записи в /dev/null
ну и объявить default_server в котором обрабатывать запросы без заголовка Host и для которых явно не настроен обработчик.
а ругань как раз таки из за того что ЛЮБОЙ запрос на 80 порт будет редиректиться на https, а там только сертификат для одного домена.

Написано более трёх лет назад
Den Alex Smith @netcrox Автор вопроса

hloe0xff,
> а ругань как раз таки из за того что ЛЮБОЙ запрос на 80 порт будет редиректиться на https, а там только сертификат для одного домена.

Немного непонятно. Ведь к сертификатам пути однозначно прописаны. И что теперь делать?

Написано более трёх лет назад

Сослан Хлоев @hloe0xff

Den Alex Smith, в предоставленном конфиге настроен домен sitename.ru с сертификатом на sitename.ru и может *.sitename.ru. Так как это единственный server слушающий 443 порт, то он и будет обслуживать все https запросы (которые могут содержать например заголовок Host: sitename2.ru, а сертификат на sitename.ru). Нужно для каждого домена завести свой server с нужным доменным именем + default_server который будет обрабатывать всё остальное. Что-то вроде

server {
        listen 80;
        server_name sitename.ru www.sitename.ru;
        rewrite ^(.*) https://$host$1 permanent;
}
server {
    listen 443 ssl;
    server_name sitename.ru www.sitename.ru;

    ssl_certificate /etc/nginx/ssl/sitename.ru/sitename.ru.crt;
    ssl_certificate_key /etc/nginx/ssl/sitename.ru/sitename.ru.key;
    include /etc/nginx/templates/ssl.conf;

    root /home/users/sitename/sitename.ru/www;
    access_log /var/log/nginx/sitename.ru.access.log;
    error_log /var/log/nginx/sitename.ru.error.log info;

                error_page 404 = @fallback;
                location / {
                        proxy_pass http://127.0.0.1:8080;
                        proxy_set_header Host $host;
                        proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
                        proxy_set_header X-Real-IP $remote_addr;
                }
                location ~* ^.+\.(jpg|jpeg|gif|png|svg|js|css|mp3|ogg|mpe?g|avi|zip|gz|bz2?|rar|swf)$ {
                        access_log /dev/null;
                        error_log /dev/null crit;
                }
                location @fallback {
                        proxy_pass http://127.0.0.1:8080;
                        proxy_set_header Host $host;
                        proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
                        proxy_set_header X-Real-IP $remote_addr;
                }
}
server {
    listen 443 ssl;
    server_name sitename2.ru www.sitename2.ru;

    ssl_certificate /etc/nginx/ssl/sitename.ru/sitename2.ru.crt;
    ssl_certificate_key /etc/nginx/ssl/sitename.ru/sitename2.ru.key;
    include /etc/nginx/templates/ssl.conf;

    root /home/users/sitename/sitename2.ru/www;
    access_log /var/log/nginx/sitename2.ru.access.log;
    error_log /var/log/nginx/sitename2.ru.error.log info;

                error_page 404 = @fallback;
                location / {
                        ...
                }
                location ~* ^.+\.(jpg|jpeg|gif|png|svg|js|css|mp3|ogg|mpe?g|avi|zip|gz|bz2?|rar|swf)$ {
                        ...
                }
                location @fallback {
                        ...
                }
}

Написано более трёх лет назад

Den Alex Smith @netcrox Автор вопроса

hloe0xff, так оно и есть, просто разные файлы конфигов (sitename1.ru.conf и sitename2.ru.conf) и для каждого свои пути прописаны.

Написано более трёх лет назад
Сослан Хлоев @hloe0xff

Den Alex Smith, нужен весь конфиг, начиная с nginx.conf

Написано более трёх лет назад

Den Alex Smith @netcrox Автор вопроса

hloe0xff,

nginx.conf:

user  www-data;
worker_processes  8;

error_log  /var/log/nginx/error.log warn;
pid        /var/run/nginx.pid;

timer_resolution 100ms;
worker_rlimit_nofile 8192;


events {
    worker_connections  2048;
    # multi_accept on;
    use epoll;
}


http {
    server_names_hash_bucket_size 128;
    include       /etc/nginx/mime.types;

    charset UTF-8;

    access_log  /var/log/nginx/access.log;
    default_type  application/octet-stream;
    # log_format  main  '$remote_addr - $remote_user [$time_local] $statu$ '$request $body_bytes_sent $http_referer ' '$http_user_agent "http_x_forwarded_for"';

    sendfile        on;
    tcp_nopush     on;

    #keepalive_timeout  0;
    keepalive_timeout  65;
    tcp_nodelay        on;

    gzip  on;
    gzip_disable "MSIE [1-6]\.(?!.*SV1)";
    gzip_min_length     1100;
    gzip_buffers        4 8k;
    gzip_http_version   1.1;
    gzip_types text/plain application/xml application/x-javascript text/css;
    output_buffers      1 32k;
    postpone_output     1460;
    ignore_invalid_headers      on;

    client_max_body_size       512m;

    server_tokens off;

    client_header_timeout       10m;
    client_body_timeout         10m;
    send_timeout                10m;
    proxy_read_timeout          10m;
    connection_pool_size        1k;
    large_client_header_buffers 4 2k;
#    upload_progress proxied    2m;
    request_pool_size           4k;

      proxy_cache_path /var/cache/nginx levels=1:2 keys_zone=one:20m inactive=10m max_size=256m;
      proxy_temp_path /var/cache/nginx/temp;
      proxy_cache_valid any 20m;

    include /etc/nginx/conf.d/*.conf;
    include /etc/nginx/sites-enabled/*.conf;
}

sitename.ru.conf

server {
        listen 80;
        server_name sitename.ru www.sitename.ru;
		rewrite ^(.*) https://$host$1 permanent;
}
server {
		listen 443 ssl;
		server_name sitename.ru;

		ssl_certificate /etc/nginx/ssl/sitename.ru/sitename.ru.crt;
		ssl_certificate_key /etc/nginx/ssl/sitename.ru/sitename.ru.key;
		include /etc/nginx/templates/ssl.conf;

		root /home/users/sitename/sitename.ru/www;
        access_log /var/log/nginx/sitename.ru.access.log;
        error_log /var/log/nginx/sitename.ru.error.log info;

                error_page 404 = @fallback;
                location / {
                        proxy_pass http://127.0.0.1:8080;
                        proxy_set_header Host $host;
                        proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
                        proxy_set_header X-Real-IP $remote_addr;
                }
                location ~* ^.+\.(jpg|jpeg|gif|png|svg|js|css|mp3|ogg|mpe?g|avi|zip|gz|bz2?|rar|swf)$ {
                        access_log /dev/null;
                        error_log /dev/null crit;
                }
                location @fallback {
                        proxy_pass http://127.0.0.1:8080;
                        proxy_set_header Host $host;
                        proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
                        proxy_set_header X-Real-IP $remote_addr;
                }
}

sitename2.ru.conf:

server {
        listen 80;
        server_name sitename2.ru www.sitename2.ru;
		rewrite ^(.*) https://$host$1 permanent;
}
server {
		listen 443 ssl;
		server_name sitename2.ru;

		ssl_certificate /etc/nginx/ssl/sitename2.ru/sitename2.ru.crt;
		ssl_certificate_key /etc/nginx/ssl/sitename2.ru/sitename2.ru.key;
		include /etc/nginx/templates/ssl.conf;

		root /home/users/sitename2/sitename2.ru/www;
        access_log /var/log/nginx/sitename2.ru.access.log;
        error_log /var/log/nginx/sitename2.ru.error.log info;

                error_page 404 = @fallback;
                location / {
                        proxy_pass http://127.0.0.1:8080;
                        proxy_set_header Host $host;
                        proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
                        proxy_set_header X-Real-IP $remote_addr;
                }
                location ~* ^.+\.(jpg|jpeg|gif|png|svg|js|css|mp3|ogg|mpe?g|avi|zip|gz|bz2?|rar|swf)$ {
                        access_log /dev/null;
                        error_log /dev/null crit;
                }
                location @fallback {
                        proxy_pass http://127.0.0.1:8080;
                        proxy_set_header Host $host;
                        proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
                        proxy_set_header X-Real-IP $remote_addr;
                }
}

Написано более трёх лет назад

Сослан Хлоев @hloe0xff

Den Alex Smith, в каталогах conf-d и sites-enabled кроме sitename.ru.conf и sitename2.ru.conf ничего нет?

Написано более трёх лет назад

Сослан Хлоев @hloe0xff

Можно попрообовать как-то так:

user  www-data;
worker_processes  8;

error_log  /var/log/nginx/error.log warn;
pid        /var/run/nginx.pid;

timer_resolution 100ms;
worker_rlimit_nofile 8192;


events {
    worker_connections  2048;
    use epoll;
}


http {
    server_names_hash_bucket_size 128;
    include       /etc/nginx/mime.types;

    charset UTF-8;

    access_log  /var/log/nginx/access.log;
    default_type  application/octet-stream;
    
    sendfile        on;
    tcp_nopush     on;

    keepalive_timeout  65;
    tcp_nodelay        on;

    gzip  on;
    gzip_disable "MSIE [1-6]\.(?!.*SV1)";
    gzip_min_length     1100;
    gzip_buffers        4 8k;
    gzip_http_version   1.1;
    gzip_types text/plain application/xml application/x-javascript text/css;
    output_buffers      1 32k;
    postpone_output     1460;
    ignore_invalid_headers      on;

    client_max_body_size       512m;

    server_tokens off;

    client_header_timeout       10m;
    client_body_timeout         10m;
    send_timeout                10m;
    proxy_read_timeout          10m;
    connection_pool_size        1k;
    large_client_header_buffers 4 2k;
    request_pool_size           4k;

    proxy_cache_path /var/cache/nginx levels=1:2 keys_zone=one:20m inactive=10m max_size=256m;
    proxy_temp_path /var/cache/nginx/temp;
    proxy_cache_valid any 20m;

    server {
        listen 80 default_server;
        return 403;
    }

    server {
        listen 80;
        server_name sitename.ru www.sitename.ru;
        rewrite ^(.*) https://$host$1 permanent;
    }

    server {
        listen 80;
        server_name sitename2.ru www.sitename2.ru;
        rewrite ^(.*) https://$host$1 permanent;
    }

    server {
        listen 443 ssl;
        server_name sitename.ru www.sitename.ru;

        ssl_certificate /etc/nginx/ssl/sitename.ru/sitename.ru.crt;
        ssl_certificate_key /etc/nginx/ssl/sitename.ru/sitename.ru.key;
        include /etc/nginx/templates/ssl.conf;

        root /home/users/sitename/sitename.ru/www;
        access_log /var/log/nginx/sitename.ru.access.log;
        error_log /var/log/nginx/sitename.ru.error.log info;

        error_page 404 = @fallback;
        location / {
            proxy_pass http://127.0.0.1:8080;
            proxy_set_header Host $host;
            proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
            proxy_set_header X-Real-IP $remote_addr;
        }
        location ~* ^.+\.(jpg|jpeg|gif|png|svg|js|css|mp3|ogg|mpe?g|avi|zip|gz|bz2?|rar|swf)$ {
            access_log /dev/null;
            error_log /dev/null crit;
        }
        location @fallback {
            proxy_pass http://127.0.0.1:8080;
            proxy_set_header Host $host;
            proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
            proxy_set_header X-Real-IP $remote_addr;
        }
    }

    server {
        listen 443 ssl;
        server_name sitename2.ru www.sitename2.ru;

        ssl_certificate /etc/nginx/ssl/sitename2.ru/sitename2.ru.crt;
        ssl_certificate_key /etc/nginx/ssl/sitename2.ru/sitename2.ru.key;
        include /etc/nginx/templates/ssl.conf;

        root /home/users/sitename2/sitename2.ru/www;
        access_log /var/log/nginx/sitename2.ru.access.log;
        error_log /var/log/nginx/sitename2.ru.error.log info;

        error_page 404 = @fallback;
        location / {
            proxy_pass http://127.0.0.1:8080;
            proxy_set_header Host $host;
            proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
            proxy_set_header X-Real-IP $remote_addr;
        }
        location ~* ^.+\.(jpg|jpeg|gif|png|svg|js|css|mp3|ogg|mpe?g|avi|zip|gz|bz2?|rar|swf)$ {
            access_log /dev/null;
            error_log /dev/null crit;
        }
        location @fallback {
            proxy_pass http://127.0.0.1:8080;
            proxy_set_header Host $host;
            proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
            proxy_set_header X-Real-IP $remote_addr;
        }
    }
}

Написано более трёх лет назад

Den Alex Smith @netcrox Автор вопроса

hloe0xff, В sites-enabled есть:

sitename3.ru.conf
sitename4.ru.conf
...
sitenameN.ru.conf

, их конфиги без SSL пока, шаблон вот:

server {
        listen 80;

        server_name sitenameN.ru www.sitenameN.ru;
        root /home/users/sitenameN/sitenameN.ru/www;

        access_log /var/log/nginx/sitenameN.ru.access.log;
        error_log /var/log/nginx/sitenameN.ru.error.log info;

                error_page 404 = @fallback;
                location / {
                        proxy_pass http://127.0.0.1:8080;
                        proxy_set_header Host $host;
                        proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
                        proxy_set_header X-Real-IP $remote_addr;
                }
                location ~* ^.+\.(jpg|jpeg|gif|png|svg|js|css|mp3|ogg|mpe?g|avi|zip|gz|bz2?|rar|swf)$ {
                        access_log /dev/null;
                        error_log /dev/null crit;
                }
                location @fallback {
                        proxy_pass http://127.0.0.1:8080;
                        proxy_set_header Host $host;
                        proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
                        proxy_set_header X-Real-IP $remote_addr;
                }
}

там же есть еще неиспользуемый файл default:

server {
	listen 80 default_server;
	listen [::]:80 default_server ipv6only=on;
	root /var/www/;
	index index.html index.htm;
	server_name localhost;
}

А каталог conf.d — пустой

Написано более трёх лет назад

Сослан Хлоев @hloe0xff

Den Alex Smith, попробуйте пока настроить всё средствами одного только nginx, без apache в качестве апстрима, и проверьте будут ошибки или нет. Сложновато мне без непосредственного доступа теоретизировать)

Написано более трёх лет назад

Ваш ответ на вопрос

Войдите, чтобы написать ответ

Похожие вопросы

Цифровые сертификаты

+2 ещё

Простой
Как создать запрос на выпуск сертификата с шифрованием ГОСТ для Минцифры?
- 2 подписчика
- 19 окт.
- 129 просмотров
1

ответ
Nginx

Простой
Как определить картинку: Встроена в страницу или прямая ссылка?
- 1 подписчик
- 16 окт.
- 171 просмотр
1

ответ
Nginx

Простой
Откуда nginx берет главную страницу сайта в моем случае?
- 1 подписчик
- 15 окт.
- 157 просмотров
2

ответа
Nginx

+1 ещё

Средний
Почему файл PHP в подпапке скачивается а не выполняется(NGINX)?
- 1 подписчик
- 11 окт.
- 142 просмотра
0

ответов
Nginx

+1 ещё

Простой
Как оптимизировать скорость загрузки шаблонов с изображениями docker nginx laravel?
- 3 подписчика
- 09 окт.
- 246 просмотров
1

ответ
Nginx

Средний
Что подразумевается под полем http_x_real_ip в log_format Nginx?
- 1 подписчик
- 08 окт.
- 136 просмотров
2

ответа
Цифровые сертификаты

+2 ещё

Средний
Почему не выдается сертификат в mailcow?
- 1 подписчик
- 06 окт.
- 90 просмотров
2

ответа
Apache HTTP Server

+1 ещё

Простой
Почему не могу запустить MODX из папки public в домене проекта?
- 1 подписчик
- 04 окт.
- 92 просмотра
1

ответ
Nginx

+2 ещё

Средний
Какие порты пробрасывать в настройках php5.6-fpm в контейнере Docker-а?
- 1 подписчик
- 28 сент.
- 149 просмотров
1

ответ
Laravel

+3 ещё

Простой
Почему php-fpm на все запросы выдает 404?
- 1 подписчик
- 26 сент.
- 305 просмотров
0

ответов
Показать ещё Загружается…

Go-разработчик / Backend Developer (Golang)

Karma8

До 500 000 ₽

SRE/DevOPS инженер

Karma8

До 500 000 ₽

Full-stack разработчик (PHP/Laravel + Node.js)

ЕГЭFlex • Самара

от 80 000 до 120 000 ₽

Answer 1 · 2019-01-29 10:58:33

У Letsencrypt есть сертификаты wildcard, т.е. domain.com и *.domain.com можно закрыть одним сертификатом. Для этого нужны манипуляции с DNS.

acme.sh - альтернативная реализация протокола с возможностью взаимодействовать с популярными хостерами.

Как подключить SSL-сертификат(-ы) ко всем виртуалхостам с помощью Webmin?

Войдите, чтобы написать ответ

Минуточку внимания

Войдите на сайт