Как настроить сертификат CF для поддомена на Oracle Cloud?

Andrey Barbolin,

cat /etc/apache2/sites-enabled/000-default.conf
<VirtualHost *:80>
        # The ServerName directive sets the request scheme, hostname and port that
        # the server uses to identify itself. This is used when creating
        # redirection URLs. In the context of virtual hosts, the ServerName
        # specifies what hostname must appear in the request's Host: header to
        # match this virtual host. For the default virtual host (this file) this
        # value is not decisive as it is used as a last resort host regardless.
        # However, you must set it for any further virtual host explicitly.
        ServerName zabbix.mydomain.com
        ServerAlias www.zabbix.mydomain.com

        ServerAdmin admin@mydomain.com
        DocumentRoot /usr/share/zabbix

        # Available loglevels: trace8, ..., trace1, debug, info, notice, warn,
        # error, crit, alert, emerg.
        # It is also possible to configure the loglevel for particular
        # modules, e.g.
        #LogLevel info ssl:warn

        ErrorLog ${APACHE_LOG_DIR}/error.log
        CustomLog ${APACHE_LOG_DIR}/access.log combined

 RewriteEngine on
 RewriteCond %{SERVER_NAME} =zabbix.mydomain.com [OR]
 RewriteCond %{SERVER_NAME} =www.zabbix.mydomain.com
 RewriteRule ^ https://%{SERVER_NAME}%{REQUEST_URI} [END,NE,R=permanent]

        # For most configuration files from conf-available/, which are
        # enabled or disabled at a global level, it is possible to
        # include a line for only one particular virtual host. For example the
        # following line enables the CGI configuration for this host only
        # after it has been globally disabled with "a2disconf".
        #Include conf-available/serve-cgi-bin.conf
</VirtualHost>

<VirtualHost *:443>

        ServerName zabbix.mydomain.com
        ServerAlias www.zabbix.mydomain.com

        ServerAdmin admin@mydomain.com
        DocumentRoot /usr/share/zabbix

        ErrorLog ${APACHE_LOG_DIR}/error.log
        CustomLog ${APACHE_LOG_DIR}/access.log combined

        SSLEngine on
        SSLCertificateFile /etc/ssl/zabbix/zabbix_cert.crt
        SSLCertificateKeyFile /etc/ssl/zabbix/zabbix_private_key.key

</VirtualHost>
# vim: syntax=apache ts=4 sw=4 sts=4 sr noet

Как настроить сертификат CF для поддомена на Oracle Cloud?

Listen 80

<IfModule ssl_module>
        Listen 0.0.0.0:443
</IfModule>

<IfModule mod_gnutls.c>
        Listen 0.0.0.0:443
</IfModule>

эффекта нет.

Да и вот когда крутил мутил что-то, то в какой-то момент apache выдал ошибку в логах

myhostname.subnet11212101.vcn11212100.oraclevcn.com:443:0 server certificate does NOT include an ID which matches the server name

Как настроить сертификат CF для поддомена на Oracle Cloud?

Andrey Barbolin,

netstat -plunt
Active Internet connections (only servers)
Proto Recv-Q Send-Q Local Address           Foreign Address         State       PID/Program name
tcp        0      0 0.0.0.0:10050           0.0.0.0:*               LISTEN      16461/zabbix_agentd
tcp        0      0 0.0.0.0:10051           0.0.0.0:*               LISTEN      25739/zabbix_server
tcp        0      0 0.0.0.0:22              0.0.0.0:*               LISTEN      1786/sshd: /usr/sbi
tcp        0      0 0.0.0.0:111             0.0.0.0:*               LISTEN      1/init
tcp        0      0 127.0.0.53:53           0.0.0.0:*               LISTEN      780/systemd-resolve
tcp        0      0 127.0.0.1:3306          0.0.0.0:*               LISTEN      14949/mariadbd
tcp6       0      0 :::10050                :::*                    LISTEN      16461/zabbix_agentd
tcp6       0      0 :::10051                :::*                    LISTEN      25739/zabbix_server
tcp6       0      0 :::443                  :::*                    LISTEN      32540/apache2
tcp6       0      0 :::22                   :::*                    LISTEN      1786/sshd: /usr/sbi
tcp6       0      0 :::111                  :::*                    LISTEN      1/init
tcp6       0      0 :::80                   :::*                    LISTEN      32540/apache2
udp        0      0 127.0.0.53:53           0.0.0.0:*                           780/systemd-resolve
udp        0      0 10.0.0.25:68            0.0.0.0:*                           778/systemd-network
udp        0      0 0.0.0.0:111             0.0.0.0:*                           1/init
udp        0      0 127.0.0.1:161           0.0.0.0:*                           16327/snmpd
udp6       0      0 :::111                  :::*                                1/init
udp6       0      0 ::1:161                 :::*                                16327/snmpd

a2enmod ssl
Considering dependency setenvif for ssl:
Module setenvif already enabled
Considering dependency mime for ssl:
Module mime already enabled
Considering dependency socache_shmcb for ssl:
Module socache_shmcb already enabled
Module ssl already enabled

ufw

ufw status
Status: active

To                         Action      From
--                         ------      ----
22/tcp                     ALLOW       Anywhere
22                         ALLOW       Anywhere
80/tcp                     ALLOW       Anywhere
443                        ALLOW       Anywhere
10050/tcp                  ALLOW       Anywhere
10051/tcp                  ALLOW       Anywhere
Apache Full                ALLOW       Anywhere
53                         ALLOW       Anywhere
2053                       ALLOW       Anywhere
2083                       ALLOW       Anywhere
2087                       ALLOW       Anywhere
2096                       ALLOW       Anywhere
8443                       ALLOW       Anywhere
22/tcp (v6)                ALLOW       Anywhere (v6)
22 (v6)                    ALLOW       Anywhere (v6)
80/tcp (v6)                ALLOW       Anywhere (v6)
443 (v6)                   ALLOW       Anywhere (v6)
10050/tcp (v6)             ALLOW       Anywhere (v6)
10051/tcp (v6)             ALLOW       Anywhere (v6)
Apache Full (v6)           ALLOW       Anywhere (v6)
53 (v6)                    ALLOW       Anywhere (v6)
2053 (v6)                  ALLOW       Anywhere (v6)
2083 (v6)                  ALLOW       Anywhere (v6)
2087 (v6)                  ALLOW       Anywhere (v6)
2096 (v6)                  ALLOW       Anywhere (v6)
8443 (v6)                  ALLOW       Anywhere (v6)

пробовал даже вообще отключать

Как настроить сертификат CF для поддомена на Oracle Cloud?

Andrey Barbolin,

Как настроить сертификат CF для поддомена на Oracle Cloud?

Andrey Barbolin, Не удается открыть эту страницу

Как настроить сертификат CF для поддомена на Oracle Cloud?

Andrey Barbolin, ну так я о чём ...
Я ж создал в разделе Origin, скопировал на сервер, прописал в Apache сертификат и ключ.

Как настроить сертификат CF для поддомена на Oracle Cloud?

Andrey Barbolin, порт да - 80, режим - всё как оф. документации Full Strict

Как настроить сертификат CF для поддомена на Oracle Cloud?

Andrey Barbolin, по IP, а значит http, нельзя же привязывать сертификаты к IP.

Как настроить сертификат CF для поддомена на Oracle Cloud?

Andrey Barbolin, ну как же недоступен, если я на него захожу по SSH, по SFTP, даже на Zabbix (только по IP)

Почему после соединения по PPTP не открываются некоторые сайты?

paran0id, вот нашёл на арчах

Маскарадинг работает, но некоторые сайты не открываются
Проблема выражается в том, что соединение есть, но часть сайтов и сервисов не работают, если вы используете ваш компьютер в роли маршрутизатора для других компьютеров. Дело в том, что размер MTU (Maximum Transmission Unit — максимальное количество байт данных в одном пакете) в PPPoE равен 1492 байтам, что меньше, чем используют большинство сайтов (1500). Ваш маршрутизатор отправляет серверу специальный пакет ICMP 3:4 (сообщение о том, что нужно переразбиение данных), запрашивая меньший MTU, но сетевые экраны многих сайтов блокируют это сообщение.

Проблема решается добавлением правила с PMTU clamping в iptables:

# iptables -I FORWARD -o ppp0 -p tcp --tcp-flags SYN,RST SYN -j TCPMSS --clamp-mss-to-pmtu

В общем было так

*nat
:POSTROUTING ACCEPT [0:0]

-A POSTROUTING -o eno1 -j MASQUERADE
-A POSTROUTING -o ppp0 -j MASQUERADE

COMMIT

# Don't delete these required lines, otherwise there will be errors
*filter
...
...
# End required lines

-I FORWARD -o ppp0 -p tcp --tcp-flags SYN,RST SYN -j TCPMSS --clamp-mss-to-pmtu

Добавил ещё

-I FORWARD -o eno1 -p tcp --tcp-flags SYN,RST SYN -j TCPMSS --clamp-mss-to-pmtu

и заработали сайты на ПК, но теперь не работают на телефоне. В чём прикол?

Можно ли установить прокси-сервер на ISP Manager?

Drno, ахахах

Можно ли установить прокси-сервер на ISP Manager?

Drno, короч получилось, но только через Type=forking, хотя всё из оф. сорсов брал.

Можно ли установить прокси-сервер на ISP Manager?

Ну прокси для того, чтобы я к примеру приложением вконтакте на win10 пользоваться мог, или в браузере и т.п.

Почему порты открыты, но при проверке получаю refused?

AUser0, не знаю, настроена или нет, но скорее да, потому что к контейнерам имеется доступ к определённым портам, но нужно, чтобы к ним имели доступ к ещё и другим портам.

Почему порты открыты, но при проверке получаю refused?

Тааак, если же разрешены все порты и настройки не имеют значения, то почему порт рефьюзит?

Какие порты открыть для FTP?

TheAndrey7, ну да, только сайты все ему www-root принадлежат и если я другого создам, и назначу сайтам, то будут проблемы

Какие порты открыть для FTP?

TheAndrey7, не не, у меня ISP Mgr и у него есть www-root для работы с web, так же сохраняется и www-data

Какие порты открыть для FTP?

TheAndrey7, чёт не совсем понимаю.
Сейчас у меня в sshd.conf отключен вход по паролю (только по ключу).
Это типа можно www-root добавить паблик-ключ? Если да, то куда?
Если нет, то нужно включить авторизацию по паролю и войдёт?

Какие порты открыть для FTP?

res2001, дело в том, что FTP мне нужен для того, чтобы заливать файлы и не морочиться потом исправлять владельца. То бишь это www-root. А его вроде как нельзя организовать по SCP.
Так-то я по SFTP пользуюсь.

Какие порты открыть для FTP?

CityCat4, благодраю за наводку, оказывается ProFTPd есть спец параметр под это дело.
Из man-a

To resolve this, simply use the PassivePorts directive in your proftpd.conf to control what ports proftpd will use for its passive data transfers:
  PassivePorts 60000 65535