Правильная настройка HTTPS?

Question

[artyak1121]

Доброго времени суток. Есть следующая проблема, настроил SSL от let's encrypt, всё отлично. Но у меня сайт работает по связке nginx + laravel + nodejs, так вот обращение ноды к сайту идёт по IP адресу. И к сайту не может пойти обращение, т.к если перейти по IP адресу, мне пишет строку о том, что: "Сервер не может подтвердить связь с доменом 127.0.0.1 Его сертификат безопасности выпущен для домена test.ru" как можно настроить правильно https, чтоб если переходить по айпи адресу не было редиректа на https?

Comments

[Сергей Сергей]

нодой на сокет fastcgi цепляться?

[Lynn «Кофеман»]

А зачем нода ходит в локалхост по хттпс?

[artyak1121]

Алексей Тен, делает обращение к сайту под IP адресу

Answer 1

[vreitech]

сертификаты центрами сертификации на IP-адреса не выпускаются, так что вам либо следует ходить по имени домена, либо по HTTP вместо HTTPS (и отключить редирект с HTTP на HTTPS при входящем соединении по IP-адресу, если он есть), либо самому выпустить самоподписанный сертификат для IP-адреса и сделать его доверенным для node.

Comments

[artyak1121]

Единственный вариант, который я вижу на данный момент - отключить редирект, но не знаю как это скажется на поисковиках. Ибо если в поисковиках будет 2 домена с www и без, тоже не есть хорошо.

[vreitech]

artyak1121, а вы не отключайте редирект для доменов, отключите его только для IP-адреса.

[artyak1121]

vreitech, вот это было-бы лучше всего, именно редирект для IP отключить, не подскажите как это сделать?

[Lynn «Кофеман»]

> сертификаты центрами сертификации на IP-адреса не выпускаются,

Выпускаются, но это не для простых смертных.
https://1.1.1.1

Answer 2

[Вася Пупкин]

Звёзды говорят мне, что без примера вашего конфига, тут мало чем поможешь.

Comments

[artyak1121]

Пардон, что то провтыкал. :)
Вот конфиг домена:

server {
	server_name test.ru www.test.ru;
	ssl_certificate "/var/www/httpd-cert/www-root/test.ru_le1.crtca";
	ssl_certificate_key "/var/www/httpd-cert/www-root/test,ru_le1.key";
	ssl_ciphers EECDH:+AES256:-3DES:RSA+AES:!NULL:!RC4;
	ssl_prefer_server_ciphers on;
	ssl_protocols TLSv1 TLSv1.1 TLSv1.2;
	add_header Strict-Transport-Security "max-age=31536000;";
	ssl_dhparam /etc/ssl/certs/dhparam4096.pem;
	charset off;
	index index.php index.html;
	disable_symlinks if_not_owner from=$root_path;
	include /etc/nginx/vhosts-includes/*.conf;
	include /etc/nginx/vhosts-resources/test.ru/*.conf;
	access_log /var/www/httpd-logs/test.ru.access.log;
	error_log /var/www/httpd-logs/test.ru.error.log notice;
	ssi on;
	set $root_path /var/www/www-root/data/www/test.ru/public;
	root $root_path;
	listen [2a01:4f8:c0c:3130::1]:443 ssl;
	listen 78.46.193.61:443 ssl;

	location / {

try_files $uri $uri/ /index.php?$query_string;

}
if (!-d $request_filename) {
rewrite ^/(.+)/$ /$1 permanent;
}
location ~* \.php$ {
fastcgi_pass unix:/var/www/php-fpm/www-root.sock;
fastcgi_index index.php;
fastcgi_split_path_info ^(.+\.php)(.*)$;
include /etc/nginx/fastcgi_params;
fastcgi_param SCRIPT_FILENAME $document_root$fastcgi_script_name;
}
}

Естественно, что вместо test.ru мой адрес проекта.

[Lynn «Кофеман»]

artyak1121, дописываем сюда
listen 127.0.0.1:80;
И из ноды ходим на хттп://127.0.0.1

[Alexey Dmitriev]

artyak1121, я не вижу у вас в файле конфигурации location с проксированием трафика на nodejs.
Давайте определимся - что у вас стоит на входе? nodejs или nginx?
Что принимает запросы от клиентов на 80 и 443 порту?

Answer 3

[Alexey Dmitriev]

Немного путанное описание.
Сертификат выдается на имя или wildcard. Он должен стоять на входе-то есть быть настроен на nginx.
Соответственно у вас шифрование должно быть между браузером и nginx при вводе в адресную строку доменного имени - и никакого 127.0.0.1 быть не должно-все остальное взаимодействие происходит внутри.
Обращение nginx к nodejs, которое видимо и происходит через loopback 127.0.0.1 не обязательно должно быть через https - это лучше сделать через http - зачем вам внутри сервера шифрованный трафик.
Так что в конфиге nginx в location, которое проксирует на nodejs нужно выставить http://127.0.0.1:xxxx, а не https

Comments

[artyak1121]

А в node мне как обращаться к сайту? Просто по IP? Или по 127.0.0.1?

[Alexey Dmitriev]

artyak1121, если nodejs находится на том же сервере, что и nginx, и нет необходимости для nodejs в видимости его снаружи - конечно правильнее "повесить" nodejs на 127.0.0.1 и обращаться к нему из nginx по 127.0.0.1