Как подключить SSL-сертификат(-ы) ко всем виртуалхостам с помощью Webmin?

Question

Den Alex Smith @netcrox

Всё время женат

Как подключить SSL-сертификат(-ы) ко всем виртуалхостам с помощью Webmin?

В Вебмине существует модуль SSL Encryption. Строго говоря, для меня почти тёмный лес. Возможно ли, и, если да, то как установить/настроить сертификаты от certbot для всех доменов/поддоменов, работающих на сервере?

Веб сервер nginx+apache2

Вопрос задан более трёх лет назад
813 просмотров

Комментировать

Подписаться 1 Средний Комментировать

Пригласить эксперта

Ответы на вопрос 1

18 комментариев

Den Alex Smith @netcrox Автор вопроса

Тут выделенный сервер (не виртуальный хостинг), проблема в том, что не хочется завалить рабочие сайты (многие с поддоменами) одним неловким движением.

Написано более трёх лет назад

Сослан Хлоев @hloe0xff

У самого VPSка с nginx и wildcard сертификатом от LetsEncrypt. У обоих серверов вроде есть проверка конфигурации на ошибки. Насчет apache не скажу, но nginx руганется в случае косяков с сертификатами. Acme.sh это только средство для получения сертификата. Мой конфиг nginx:

spoiler

listen 443 ssl http2 default_server;
  server_name domain.com www.domain.com;
  ssl_session_cache shared:SSL:50m;
  ssl_session_timeout 1d;
  ssl_session_tickets off;
  ssl_certificate /path/to/fullchain.cer;
  ssl_trusted_certificate /path/to/fullchain.cer;
  ssl_certificate_key /path/to/cert.key;
  ssl_dhparam /path/to/dhparam.pem;
  ssl_protocols TLSv1.2;
  ssl_prefer_server_ciphers on;
  ssl_ciphers 'ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-CHACHA20-POLY1305:ECDHE-RSA-CHACHA20-POLY1305:ECDHE-ECDSA-AES256-SHA384:ECDHE-RSA-AES256-SHA384';
  ssl_ecdh_curve secp384r1:secp521r1;
  ssl_stapling on;
  ssl_stapling_verify on;
  ssl_verify_depth 3;
  resolver 8.8.8.8 8.8.4.4 valid=300s;
  resolver_timeout 10s;
  add_header Strict-Transport-Security "max-age=15768000; includeSubDomains; preload";
  add_header X-Farme-Options "DENY";
  add_header X-Content-Type-Options "nosniff";
  add_header X-XSS-Protection "1; mode=block";
  charset utf-8;
  server_tokens off;
  root /path/to/root;

Написано более трёх лет назад

Den Alex Smith @netcrox Автор вопроса

А есть где-нибудь под рукой ссылки на пошаговое разжевывание, которыми сам руководствовался?

Написано более трёх лет назад
Сослан Хлоев @hloe0xff
Я получал сертификат в ручном режиме. Опишу как делал.
Офф. wiki
Собственно ставим acme.sh.
Запрашиваем сертификат
acme.sh --issue -d example.com -d *.example.com --dns --yes-I-know-dns-manual-mode-enough-go-ahead-please

В ответ нас попросят добавить пару записей TXT в DNS. Добавляем и проверяем их.
Потом запускаем клиент с опцией --renew.
acme.sh --renew -d example.com -d *.example.com --yes-I-know-dns-manual-mode-enough-go-ahead-please

Идет проверка DNS записей и получение сетификатов. Сохраняются в домашней директории пользователя в скрытом каталоге .acme.sh/domain_name/

В основном использовал оф. доки. Также имеется возможность работать по DNS API для автоматизации. Список поддерживаемых хостеров на хабе проекта.
Написано более трёх лет назад
Den Alex Smith @netcrox Автор вопроса

Этим путем не вышло, установил по похожей инструкции отсюда.

Все заработало. Но когда установил сертификат для другого домена (на том же IP), браузеры стали ругаться на первый, мол, у него сертификат от второго используется. Уже задолбался проверять, физически сами сертификаты и ключи разнесены по разным папкам, и в конфигах nginx перехлестов нет, скачивал себе и открывал сертификаты .cer — владельцы правильные, в чем может быть загвоздка? Куда копать?

Написано более трёх лет назад
Сослан Хлоев @hloe0xff

Den Alex Smith, nginx и apache используются в связке? Конфиг nginx?

Написано более трёх лет назад

Den Alex Smith @netcrox Автор вопроса

У обоих такой:
(ессно, имена sitename.ru и othersite.net)

server {
        listen 80;
        server_name sitename.ru www.sitename.ru;
	rewrite ^(.*) https://$host$1 permanent;
}
server {
		listen 443 ssl;
		server_name sitename.ru;

		ssl_certificate /etc/nginx/ssl/sitename.ru/sitename.ru.crt;
		ssl_certificate_key /etc/nginx/ssl/sitename.ru/sitename.ru.key;
		include /etc/nginx/templates/ssl.conf;

		root /home/users/sitename/sitename.ru/www;
		access_log /var/log/nginx/sitename.ru.access.log;
		error_log /var/log/nginx/sitename.ru.error.log info;

                error_page 404 = @fallback;
                location / {
                        proxy_pass http://127.0.0.1:8080;
                        proxy_set_header Host $host;
                        proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
                        proxy_set_header X-Real-IP $remote_addr;
                }
                location ~* ^.+\.(jpg|jpeg|gif|png|svg|js|css|mp3|ogg|mpe?g|avi|zip|gz|bz2?|rar|swf)$ {
                        access_log /dev/null;
                        error_log /dev/null crit;
                }
                location @fallback {
                        proxy_pass http://127.0.0.1:8080;
                        proxy_set_header Host $host;
                        proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
                        proxy_set_header X-Real-IP $remote_addr;
                }
}

Написано более трёх лет назад

Den Alex Smith @netcrox Автор вопроса

hloe0xff, А Апача не пришлось трогать, там тоже идентичные конфиги.

Написано более трёх лет назад
Сослан Хлоев @hloe0xff

Den Alex Smith,
помнится где то оветовали вместо rewrite делать return 301 https://$host$request_uri;
думаю еще лучше использовать access_log off; вместо записи в /dev/null
ну и объявить default_server в котором обрабатывать запросы без заголовка Host и для которых явно не настроен обработчик.
а ругань как раз таки из за того что ЛЮБОЙ запрос на 80 порт будет редиректиться на https, а там только сертификат для одного домена.

Написано более трёх лет назад
Den Alex Smith @netcrox Автор вопроса

hloe0xff,
> а ругань как раз таки из за того что ЛЮБОЙ запрос на 80 порт будет редиректиться на https, а там только сертификат для одного домена.

Немного непонятно. Ведь к сертификатам пути однозначно прописаны. И что теперь делать?

Написано более трёх лет назад

Сослан Хлоев @hloe0xff

Den Alex Smith, в предоставленном конфиге настроен домен sitename.ru с сертификатом на sitename.ru и может *.sitename.ru. Так как это единственный server слушающий 443 порт, то он и будет обслуживать все https запросы (которые могут содержать например заголовок Host: sitename2.ru, а сертификат на sitename.ru). Нужно для каждого домена завести свой server с нужным доменным именем + default_server который будет обрабатывать всё остальное. Что-то вроде

server {
        listen 80;
        server_name sitename.ru www.sitename.ru;
        rewrite ^(.*) https://$host$1 permanent;
}
server {
    listen 443 ssl;
    server_name sitename.ru www.sitename.ru;

    ssl_certificate /etc/nginx/ssl/sitename.ru/sitename.ru.crt;
    ssl_certificate_key /etc/nginx/ssl/sitename.ru/sitename.ru.key;
    include /etc/nginx/templates/ssl.conf;

    root /home/users/sitename/sitename.ru/www;
    access_log /var/log/nginx/sitename.ru.access.log;
    error_log /var/log/nginx/sitename.ru.error.log info;

                error_page 404 = @fallback;
                location / {
                        proxy_pass http://127.0.0.1:8080;
                        proxy_set_header Host $host;
                        proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
                        proxy_set_header X-Real-IP $remote_addr;
                }
                location ~* ^.+\.(jpg|jpeg|gif|png|svg|js|css|mp3|ogg|mpe?g|avi|zip|gz|bz2?|rar|swf)$ {
                        access_log /dev/null;
                        error_log /dev/null crit;
                }
                location @fallback {
                        proxy_pass http://127.0.0.1:8080;
                        proxy_set_header Host $host;
                        proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
                        proxy_set_header X-Real-IP $remote_addr;
                }
}
server {
    listen 443 ssl;
    server_name sitename2.ru www.sitename2.ru;

    ssl_certificate /etc/nginx/ssl/sitename.ru/sitename2.ru.crt;
    ssl_certificate_key /etc/nginx/ssl/sitename.ru/sitename2.ru.key;
    include /etc/nginx/templates/ssl.conf;

    root /home/users/sitename/sitename2.ru/www;
    access_log /var/log/nginx/sitename2.ru.access.log;
    error_log /var/log/nginx/sitename2.ru.error.log info;

                error_page 404 = @fallback;
                location / {
                        ...
                }
                location ~* ^.+\.(jpg|jpeg|gif|png|svg|js|css|mp3|ogg|mpe?g|avi|zip|gz|bz2?|rar|swf)$ {
                        ...
                }
                location @fallback {
                        ...
                }
}

Написано более трёх лет назад

Den Alex Smith @netcrox Автор вопроса

hloe0xff, так оно и есть, просто разные файлы конфигов (sitename1.ru.conf и sitename2.ru.conf) и для каждого свои пути прописаны.

Написано более трёх лет назад
Сослан Хлоев @hloe0xff

Den Alex Smith, нужен весь конфиг, начиная с nginx.conf

Написано более трёх лет назад

Den Alex Smith @netcrox Автор вопроса

hloe0xff,

nginx.conf:

user  www-data;
worker_processes  8;

error_log  /var/log/nginx/error.log warn;
pid        /var/run/nginx.pid;

timer_resolution 100ms;
worker_rlimit_nofile 8192;


events {
    worker_connections  2048;
    # multi_accept on;
    use epoll;
}


http {
    server_names_hash_bucket_size 128;
    include       /etc/nginx/mime.types;

    charset UTF-8;

    access_log  /var/log/nginx/access.log;
    default_type  application/octet-stream;
    # log_format  main  '$remote_addr - $remote_user [$time_local] $statu$ '$request $body_bytes_sent $http_referer ' '$http_user_agent "http_x_forwarded_for"';

    sendfile        on;
    tcp_nopush     on;

    #keepalive_timeout  0;
    keepalive_timeout  65;
    tcp_nodelay        on;

    gzip  on;
    gzip_disable "MSIE [1-6]\.(?!.*SV1)";
    gzip_min_length     1100;
    gzip_buffers        4 8k;
    gzip_http_version   1.1;
    gzip_types text/plain application/xml application/x-javascript text/css;
    output_buffers      1 32k;
    postpone_output     1460;
    ignore_invalid_headers      on;

    client_max_body_size       512m;

    server_tokens off;

    client_header_timeout       10m;
    client_body_timeout         10m;
    send_timeout                10m;
    proxy_read_timeout          10m;
    connection_pool_size        1k;
    large_client_header_buffers 4 2k;
#    upload_progress proxied    2m;
    request_pool_size           4k;

      proxy_cache_path /var/cache/nginx levels=1:2 keys_zone=one:20m inactive=10m max_size=256m;
      proxy_temp_path /var/cache/nginx/temp;
      proxy_cache_valid any 20m;

    include /etc/nginx/conf.d/*.conf;
    include /etc/nginx/sites-enabled/*.conf;
}

sitename.ru.conf

server {
        listen 80;
        server_name sitename.ru www.sitename.ru;
		rewrite ^(.*) https://$host$1 permanent;
}
server {
		listen 443 ssl;
		server_name sitename.ru;

		ssl_certificate /etc/nginx/ssl/sitename.ru/sitename.ru.crt;
		ssl_certificate_key /etc/nginx/ssl/sitename.ru/sitename.ru.key;
		include /etc/nginx/templates/ssl.conf;

		root /home/users/sitename/sitename.ru/www;
        access_log /var/log/nginx/sitename.ru.access.log;
        error_log /var/log/nginx/sitename.ru.error.log info;

                error_page 404 = @fallback;
                location / {
                        proxy_pass http://127.0.0.1:8080;
                        proxy_set_header Host $host;
                        proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
                        proxy_set_header X-Real-IP $remote_addr;
                }
                location ~* ^.+\.(jpg|jpeg|gif|png|svg|js|css|mp3|ogg|mpe?g|avi|zip|gz|bz2?|rar|swf)$ {
                        access_log /dev/null;
                        error_log /dev/null crit;
                }
                location @fallback {
                        proxy_pass http://127.0.0.1:8080;
                        proxy_set_header Host $host;
                        proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
                        proxy_set_header X-Real-IP $remote_addr;
                }
}

sitename2.ru.conf:

server {
        listen 80;
        server_name sitename2.ru www.sitename2.ru;
		rewrite ^(.*) https://$host$1 permanent;
}
server {
		listen 443 ssl;
		server_name sitename2.ru;

		ssl_certificate /etc/nginx/ssl/sitename2.ru/sitename2.ru.crt;
		ssl_certificate_key /etc/nginx/ssl/sitename2.ru/sitename2.ru.key;
		include /etc/nginx/templates/ssl.conf;

		root /home/users/sitename2/sitename2.ru/www;
        access_log /var/log/nginx/sitename2.ru.access.log;
        error_log /var/log/nginx/sitename2.ru.error.log info;

                error_page 404 = @fallback;
                location / {
                        proxy_pass http://127.0.0.1:8080;
                        proxy_set_header Host $host;
                        proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
                        proxy_set_header X-Real-IP $remote_addr;
                }
                location ~* ^.+\.(jpg|jpeg|gif|png|svg|js|css|mp3|ogg|mpe?g|avi|zip|gz|bz2?|rar|swf)$ {
                        access_log /dev/null;
                        error_log /dev/null crit;
                }
                location @fallback {
                        proxy_pass http://127.0.0.1:8080;
                        proxy_set_header Host $host;
                        proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
                        proxy_set_header X-Real-IP $remote_addr;
                }
}

Написано более трёх лет назад

Сослан Хлоев @hloe0xff

Den Alex Smith, в каталогах conf-d и sites-enabled кроме sitename.ru.conf и sitename2.ru.conf ничего нет?

Написано более трёх лет назад

Сослан Хлоев @hloe0xff

Можно попрообовать как-то так:

user  www-data;
worker_processes  8;

error_log  /var/log/nginx/error.log warn;
pid        /var/run/nginx.pid;

timer_resolution 100ms;
worker_rlimit_nofile 8192;


events {
    worker_connections  2048;
    use epoll;
}


http {
    server_names_hash_bucket_size 128;
    include       /etc/nginx/mime.types;

    charset UTF-8;

    access_log  /var/log/nginx/access.log;
    default_type  application/octet-stream;
    
    sendfile        on;
    tcp_nopush     on;

    keepalive_timeout  65;
    tcp_nodelay        on;

    gzip  on;
    gzip_disable "MSIE [1-6]\.(?!.*SV1)";
    gzip_min_length     1100;
    gzip_buffers        4 8k;
    gzip_http_version   1.1;
    gzip_types text/plain application/xml application/x-javascript text/css;
    output_buffers      1 32k;
    postpone_output     1460;
    ignore_invalid_headers      on;

    client_max_body_size       512m;

    server_tokens off;

    client_header_timeout       10m;
    client_body_timeout         10m;
    send_timeout                10m;
    proxy_read_timeout          10m;
    connection_pool_size        1k;
    large_client_header_buffers 4 2k;
    request_pool_size           4k;

    proxy_cache_path /var/cache/nginx levels=1:2 keys_zone=one:20m inactive=10m max_size=256m;
    proxy_temp_path /var/cache/nginx/temp;
    proxy_cache_valid any 20m;

    server {
        listen 80 default_server;
        return 403;
    }

    server {
        listen 80;
        server_name sitename.ru www.sitename.ru;
        rewrite ^(.*) https://$host$1 permanent;
    }

    server {
        listen 80;
        server_name sitename2.ru www.sitename2.ru;
        rewrite ^(.*) https://$host$1 permanent;
    }

    server {
        listen 443 ssl;
        server_name sitename.ru www.sitename.ru;

        ssl_certificate /etc/nginx/ssl/sitename.ru/sitename.ru.crt;
        ssl_certificate_key /etc/nginx/ssl/sitename.ru/sitename.ru.key;
        include /etc/nginx/templates/ssl.conf;

        root /home/users/sitename/sitename.ru/www;
        access_log /var/log/nginx/sitename.ru.access.log;
        error_log /var/log/nginx/sitename.ru.error.log info;

        error_page 404 = @fallback;
        location / {
            proxy_pass http://127.0.0.1:8080;
            proxy_set_header Host $host;
            proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
            proxy_set_header X-Real-IP $remote_addr;
        }
        location ~* ^.+\.(jpg|jpeg|gif|png|svg|js|css|mp3|ogg|mpe?g|avi|zip|gz|bz2?|rar|swf)$ {
            access_log /dev/null;
            error_log /dev/null crit;
        }
        location @fallback {
            proxy_pass http://127.0.0.1:8080;
            proxy_set_header Host $host;
            proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
            proxy_set_header X-Real-IP $remote_addr;
        }
    }

    server {
        listen 443 ssl;
        server_name sitename2.ru www.sitename2.ru;

        ssl_certificate /etc/nginx/ssl/sitename2.ru/sitename2.ru.crt;
        ssl_certificate_key /etc/nginx/ssl/sitename2.ru/sitename2.ru.key;
        include /etc/nginx/templates/ssl.conf;

        root /home/users/sitename2/sitename2.ru/www;
        access_log /var/log/nginx/sitename2.ru.access.log;
        error_log /var/log/nginx/sitename2.ru.error.log info;

        error_page 404 = @fallback;
        location / {
            proxy_pass http://127.0.0.1:8080;
            proxy_set_header Host $host;
            proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
            proxy_set_header X-Real-IP $remote_addr;
        }
        location ~* ^.+\.(jpg|jpeg|gif|png|svg|js|css|mp3|ogg|mpe?g|avi|zip|gz|bz2?|rar|swf)$ {
            access_log /dev/null;
            error_log /dev/null crit;
        }
        location @fallback {
            proxy_pass http://127.0.0.1:8080;
            proxy_set_header Host $host;
            proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
            proxy_set_header X-Real-IP $remote_addr;
        }
    }
}

Написано более трёх лет назад

Den Alex Smith @netcrox Автор вопроса

hloe0xff, В sites-enabled есть:

sitename3.ru.conf
sitename4.ru.conf
...
sitenameN.ru.conf

, их конфиги без SSL пока, шаблон вот:

server {
        listen 80;

        server_name sitenameN.ru www.sitenameN.ru;
        root /home/users/sitenameN/sitenameN.ru/www;

        access_log /var/log/nginx/sitenameN.ru.access.log;
        error_log /var/log/nginx/sitenameN.ru.error.log info;

                error_page 404 = @fallback;
                location / {
                        proxy_pass http://127.0.0.1:8080;
                        proxy_set_header Host $host;
                        proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
                        proxy_set_header X-Real-IP $remote_addr;
                }
                location ~* ^.+\.(jpg|jpeg|gif|png|svg|js|css|mp3|ogg|mpe?g|avi|zip|gz|bz2?|rar|swf)$ {
                        access_log /dev/null;
                        error_log /dev/null crit;
                }
                location @fallback {
                        proxy_pass http://127.0.0.1:8080;
                        proxy_set_header Host $host;
                        proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
                        proxy_set_header X-Real-IP $remote_addr;
                }
}

там же есть еще неиспользуемый файл default:

server {
	listen 80 default_server;
	listen [::]:80 default_server ipv6only=on;
	root /var/www/;
	index index.html index.htm;
	server_name localhost;
}

А каталог conf.d — пустой

Написано более трёх лет назад

Сослан Хлоев @hloe0xff

Den Alex Smith, попробуйте пока настроить всё средствами одного только nginx, без apache в качестве апстрима, и проверьте будут ошибки или нет. Сложновато мне без непосредственного доступа теоретизировать)

Написано более трёх лет назад

Ваш ответ на вопрос

Войдите, чтобы написать ответ

Похожие вопросы

Apache HTTP Server

+3 ещё

Сложный
Не проходит сквозная авторизация через браузер 1c8 apache2.4 auth_gssapi?
- 1 подписчик
- 22 часа назад
- 31 просмотр
0

ответов
Цифровые сертификаты

Простой
Что не так с запросом сертификата Let's encrypt?
- 1 подписчик
- вчера
- 132 просмотра
1

ответ
Ubuntu

+2 ещё

Средний
Запускаю сайты на apache2 и выдает такую ошибку DNS_PROBE_FINISHED_NXDOMAIN?
- 1 подписчик
- 20 нояб.
- 61 просмотр
0

ответов
Nginx

+1 ещё

Сложный
Как настроить HTTPS прокси сервер на одном IP, что backend сервера видели IP клиента?
- 1 подписчик
- 20 нояб.
- 97 просмотров
4

ответа
Системное администрирование

+1 ещё

Простой
Кто блокирует сертификат и что делать?
- 2 подписчика
- 20 нояб.
- 1001 просмотр
4

ответа
MySQL

+2 ещё

Средний
Почему падает соединение с mysql за nginx?
- 2 подписчика
- 19 нояб.
- 160 просмотров
0

ответов
VPN

+1 ещё

Простой
Как продлить сертификат панели 3X-UI?
- 1 подписчик
- 19 нояб.
- 313 просмотров
2

ответа
Nginx

+2 ещё

Простой
Reverse proxy и Mikrotik, как запустить?
- 1 подписчик
- 18 нояб.
- 197 просмотров
1

ответ
Nginx

Простой
У меня nginx не видит файлы в папке, почему?
- 1 подписчик
- 18 нояб.
- 188 просмотров
2

ответа
Apache HTTP Server

+1 ещё

Простой
Как убрать запись Perl warnings в лог ошибок Apache?
- 1 подписчик
- 17 нояб.
- 33 просмотра
2

ответа
Показать ещё Загружается…

Прикладной администратор SberApps

Сбер • Москва

от 230 000 ₽

Go Developer

Karma8

До 600 000 ₽

Devops (Персона)

Сбер • Москва

от 230 000 ₽

Анализ и оценка проектов, с последующим запуском

22 нояб. 2024, в 20:20

1000 руб./в час

Разработать админ панель на yii2

22 нояб. 2024, в 19:51

15000 руб./за проект

VPN приложение на Android

22 нояб. 2024, в 19:15

200000 руб./за проект

Answer 1 · 2019-01-29 10:58:33

У Letsencrypt есть сертификаты wildcard, т.е. domain.com и *.domain.com можно закрыть одним сертификатом. Для этого нужны манипуляции с DNS.

acme.sh - альтернативная реализация протокола с возможностью взаимодействовать с популярными хостерами.

Как подключить SSL-сертификат(-ы) ко всем виртуалхостам с помощью Webmin?

Войдите, чтобы написать ответ

Минуточку внимания

Войдите на сайт