Как добавить SSL сертификат для домашнего сервера?

Question

[lekam]

Есть сайт на домашнем сервере, который спрятан за Cloudflare. Всё работает через HTTPS, сертификаты выданы самим Cloudflare.
Но на сайте есть аудиоплеер:

<audio >
  <source src="http://192.168.0.100:8000/audio" >
</audio>

Из-за которого содержимое сайта считается небезопасным (потому что HTTP).
Я пытаюсь зашифровать источник, для этого на своём сервере использую SSL сертификаты, выданные Cloudflare, в итоге мой плеер выглядит так:

<audio >
  <source src="https://192.168.0.100:8000/audio" >
</audio>

Но браузер всё-равно считает этот сертификат недействительным и плеер не запускает. На стороне сервера при этом такая ошибка:

Failed to accept new client: SSL accept() error: error:14094416:SSL routines:ssl3_read_bytes:sslv3 alert certificate unknown

В чём причина? Можно ли в принципе использовать SSL сертификаты от Cloudflare таким образом? И если нет, как мне получить валидный сертификат, если мой сервер не связан напрямую с моим доменом?
Аудио генерируется с помощью Liquidsoap, который умеет создавать https источники.

Answer 1

[ky0]

Ошибка из-за того, что вы на 8000 порт, где никакого SSL скорее всего нет, пытаетесь по HTTPS законнектиться.

Comments

[lekam]

Нет, всё работает. Хром ругается и не запускает плеер, а вот Опера запускает, просто уведомляет что он не безопасный.
Плеер работает, почему сертификаты, выданные Cloudflare считаются небезопасными?

[Saboteur]

сертификаты должны обычно выдаваться для домена, а не для айпишника

[ky0]

lekam, а-а, извините, меня дезориентировало то, что порт один и тот же.

Сертификаты считаются небезопасными, потому что не совпадает имя хоста. Я бы предложил вам всё-таки всё шифрование терминировать в CF, а он уж пусть ходит к плееру по HTTP. Ну или, если у вас дома есть белый IP - получите себе бесплатный сертификат.

[lekam]

ky0, можно чуть подробнее пожалуйста, какой должен быть код плеера, чтобы страница с ним была безопасной для браузера? Допустим, я отключу шифрование потока на своём сервере, но вставлять его как http элемент я же не могу.

У меня белый IP, но если я получу для него сертификат, он же там явно будет указан и любой посетитель сможет узнать реальный IP сервера?

[lekam]

Артёмище, да, то что сертификат который выдан для домена не годится для 192.168.0.1 я уже понял. Но как именно решить проблему - не понял :-)
В адресе плеера должен быть указан путь к аудиопотоку. Аудиопоток создаётся приложением на моём локальном сервере. Приложение имеет функцию шифрования.

[ky0]

lekam,

можно чуть подробнее пожалуйста, какой должен быть код плеера, чтобы страница с ним была безопасной для браузера? Допустим, я отключу шифрование потока на своём сервере, но вставлять его как http элемент я же не могу.

На CF настраиваете проксирование к себе домой. В код сайта вставляете урл, ведущий на CF, по которому запросы проваливаются к вам вовнутрь уже без шифрования.

internet -> [https://cf-domain/audio] -> [http://home-host:8000/audio]

[lekam]

ky0, сделал так:
на сайте
source src="https://mydomain.com/audio"
на CF

В итоге браузер всё равно распознаёт подмену:

Mixed Content: The page at 'https://mydomain.com/' was loaded over HTTPS, but requested an insecure audio file '192.168.0.100:8000/audio'. This content should also be served over HTTPS.

[lekam]

ky0, похоже я рано забеспокоился об SSL. Оказывается трансляция работает только пока я в локальной сети открываю сайт, из интернета ссылка вида 192.168.*.* вообще не работает :facepalm: