Re: Как установить Rapid SSL 2018
On Fri, 14 May 2021, Evgeniy Berdnikov wrote: > On Fri, May 14, 2021 at 08:11:51PM +0500, Илья Шипицин wrote: > >в списке файлов - два промежуточных УЦ. > >я затрудняюсь представить детали, но, было бы логично прямо носом ткнуть > >"вот мы выдали замудренный сертик с двумя промежуточными УЦ, а вот у нас > >есть инструкция для этого случая" > > Именно так и есть. Не написано лишь про такую засаду, что некоторые CA > (и вроде копеечный RapidSSL среди них) выдают некоторые файлики без > перевода строки в конце. Это же просто вай-вай как больно... :) пустые строки игнорируются, так что всё несложно (да, просто cat domain.crt interca.crt subca.crt уже не хватит, но) ну и openssl x509 -noout -text такое должен словить, не помню только какую опцию ему затолкать, чтоб промежуточные проверял -- Sincerely, D.Marck[DM5020, MCK-RIPE, DM3-RIPN] [ FreeBSD committer:ma...@freebsd.org ] --- *** Dmitry Morozovsky --- D.Marck --- Wild Woozle --- woo...@woozle.net *** --- ___ nginx-ru mailing list nginx-ru@nginx.org http://mailman.nginx.org/mailman/listinfo/nginx-ru
Re: Как установить Rapid SSL 2018
Илья Шипицин писал 2021-05-14 18:11: контекстность не помешает. в списке файлов - два промежуточных УЦ. я затрудняюсь представить детали, но, было бы логично прямо носом ткнуть "вот мы выдали замудренный сертик с двумя промежуточными УЦ, а вот у нас есть инструкция для этого случая" А эта инструкция есть на nginx.org - там отдельно расписывается что и как делать ровно в таком случае. Даже shell команды приведены ЕМНИП. -- Best regards, Andrey A. Kopeyko ___ nginx-ru mailing list nginx-ru@nginx.org http://mailman.nginx.org/mailman/listinfo/nginx-ru
Re: Как установить Rapid SSL 2018
sf2015 писал 2021-05-14 17:38: Сертификат куплен на домен и поддомены. Покупался на nic.ru. У Ру-Центра шикарная и подробная документация по настройке SSL - смотрите на их сайте. (сам писал некоторые её части ;-) -- Best regards, Andrey A. Kopeyko ___ nginx-ru mailing list nginx-ru@nginx.org http://mailman.nginx.org/mailman/listinfo/nginx-ru
Re: Как установить Rapid SSL 2018
On Fri, May 14, 2021 at 07:57:31PM +0500, Илья Шипицин wrote: >сертификат это очень контекстная тема. в момент покупки предполагается, >что он будет единственным образом использован - настроен на веб-сервере. >nginx входит в пятерку по распространенности. и это очень контекстно, в >момент покупки выдать покупателю инструкцию "а использовать купленный >сертификат лучше всего вот так (для самых популярных реализаций)" Не скажу насчёт "контекстности", но на nic.ru есть подробнейшие инструкции, в том числе для Nginx. Ткнуть в л/к ссылку на купленный сертификат и промотать вниз, до абзаца "Как установить SSL-сертификат". >пт, 14 мая 2021 г. в 19:39, sf2015 : > Сертификат куплен на домен и поддомены. Покупался на nic.ru. -- Eugene Berdnikov ___ nginx-ru mailing list nginx-ru@nginx.org http://mailman.nginx.org/mailman/listinfo/nginx-ru
Re: Как установить Rapid SSL 2018
сертификат это очень контекстная тема. в момент покупки предполагается, что он будет единственным образом использован - настроен на веб-сервере. nginx входит в пятерку по распространенности. и это очень контекстно, в момент покупки выдать покупателю инструкцию "а использовать купленный сертификат лучше всего вот так (для самых популярных реализаций)" пт, 14 мая 2021 г. в 19:39, sf2015 : > Сертификат куплен на домен и поддомены. Покупался на nic.ru. > > Posted at Nginx Forum: > https://forum.nginx.org/read.php?21,291518,291523#msg-291523 > > ___ > nginx-ru mailing list > nginx-ru@nginx.org > http://mailman.nginx.org/mailman/listinfo/nginx-ru ___ nginx-ru mailing list nginx-ru@nginx.org http://mailman.nginx.org/mailman/listinfo/nginx-ru
Re: Как установить Rapid SSL 2018
Сертификат куплен на домен и поддомены. Покупался на nic.ru. Posted at Nginx Forum: https://forum.nginx.org/read.php?21,291518,291523#msg-291523 ___ nginx-ru mailing list nginx-ru@nginx.org http://mailman.nginx.org/mailman/listinfo/nginx-ru
Re: Как установить Rapid SSL 2018
рискну предположить, что бест практис "как использовать выданный нами сертификат" можно ожидать от тех, кто сертификат выдал. вы же им деньги заплатили, почему бы им не сделать всё по красоте. по крайней мере я такие рекомендации припоминаю. пт, 14 мая 2021 г. в 18:22, Andrey Kopeyko : > sf2015 писал 2021-05-14 09:38: > > Для домена test.ru и всех поддоменов приобретен сеттификат Rapid SSL > > 2018 > > Если ваш сертификат допустимо ставить на несколько серверов одновременно > (ищите в договоре "server licences" или аналогичные слова), то можете > просто размножить ключ+серт по нужному кол-ву железок\виртуалок. С > соответствующими рисками для безопасности. > > Если такое вам не разрешено, то > * или раскладывайте ключ+серт на свой страх и риск > * или докупайте опцию "server licences" > * или докупайте нужное кол-во сертификатов для уникальных ключей > > > Имеется: > > сам сертификат test_ru.crt > > промежуточный intermediate_pem_geotrust_rapidssl_wildcard_1.crt > > промежуточный intermediate_pem_geotrust_rapidssl_wildcard_2.crt > > приватный ключ key.txt > > корневой сертификат root_pem_geotrust_rapidssl_wildcard_1.crt > > сертификат test.ru.ca-bundle > > > > Nginx установлен на Ubuntu 20 с IP 192.168.0.43. > > > > общая задача такая. Есть некий вебсервис (https:// t1.test.ru), который > > крутится на серваке в локалке с адресом 192.168.0.230. > > > > Сейчас При вводе адреса https://t1.test.ru клиент проваливается > > на192.168.0.230. > > Нужна схема с проксированием так, чтобы При вводе адреса > > https://t1.test.ru > > клиент проваливается на192.168.0.43, а затем перенаправлялся на > > 192.168.0.230 > > > > В перспективе будут еще https://t2.test.ru, которые пойдут на > > 192.168.0.232 > > и т.п. > > > > > > - > > 1. Подскажите какие как быть с сертификатами. Какие из приведённых выше > > прописать в файле конфигурации. > > > > > > > > > > server { > > #listen 80; > >listen 443 ssl default_server; > >listen [::]:443 ssl default_server; > > ssl on; > > ssl_certificate /etc/ssl/test.ru/dcli.ru.ca-bundle; > > #ssl_certificate_key /etc/ssl/test.ru/key.txt; > > #ssl_session_timeout 5m; > > #ssl_protocols TLSv1 TLSv1.1 TLSv1.2; > > #ssl_dhparam /etc/ssl/certs/dhparam.pem; > > #ssl_ciphers 'EECDH+AESGCM:EDH+AESGCM:AES256+EECDH:AES256+EDH'; > > #ssl_prefer_server_ciphers on; > > #ssl_session_cache shared:SSL:10m; > > > > > > server_name t1.test.ru; > > access_log /var/log/nginx/access.log; > > error_log /var/log/nginx/error.log; > > > > location / { > > proxy_pass https://192.168.0.230; > > } > > } > > > > Posted at Nginx Forum: > > https://forum.nginx.org/read.php?21,291518,291518#msg-291518 > > > > ___ > > nginx-ru mailing list > > nginx-ru@nginx.org > > http://mailman.nginx.org/mailman/listinfo/nginx-ru > > -- > Best regards, > Andrey A. Kopeyko > ___ > nginx-ru mailing list > nginx-ru@nginx.org > http://mailman.nginx.org/mailman/listinfo/nginx-ru ___ nginx-ru mailing list nginx-ru@nginx.org http://mailman.nginx.org/mailman/listinfo/nginx-ru
Re: Как установить Rapid SSL 2018
sf2015 писал 2021-05-14 09:38: Для домена test.ru и всех поддоменов приобретен сеттификат Rapid SSL 2018 Если ваш сертификат допустимо ставить на несколько серверов одновременно (ищите в договоре "server licences" или аналогичные слова), то можете просто размножить ключ+серт по нужному кол-ву железок\виртуалок. С соответствующими рисками для безопасности. Если такое вам не разрешено, то * или раскладывайте ключ+серт на свой страх и риск * или докупайте опцию "server licences" * или докупайте нужное кол-во сертификатов для уникальных ключей Имеется: сам сертификат test_ru.crt промежуточный intermediate_pem_geotrust_rapidssl_wildcard_1.crt промежуточный intermediate_pem_geotrust_rapidssl_wildcard_2.crt приватный ключ key.txt корневой сертификат root_pem_geotrust_rapidssl_wildcard_1.crt сертификат test.ru.ca-bundle Nginx установлен на Ubuntu 20 с IP 192.168.0.43. общая задача такая. Есть некий вебсервис (https:// t1.test.ru), который крутится на серваке в локалке с адресом 192.168.0.230. Сейчас При вводе адреса https://t1.test.ru клиент проваливается на192.168.0.230. Нужна схема с проксированием так, чтобы При вводе адреса https://t1.test.ru клиент проваливается на192.168.0.43, а затем перенаправлялся на 192.168.0.230 В перспективе будут еще https://t2.test.ru, которые пойдут на 192.168.0.232 и т.п. - 1. Подскажите какие как быть с сертификатами. Какие из приведённых выше прописать в файле конфигурации. server { #listen 80; listen 443 ssl default_server; listen [::]:443 ssl default_server; ssl on; ssl_certificate /etc/ssl/test.ru/dcli.ru.ca-bundle; #ssl_certificate_key /etc/ssl/test.ru/key.txt; #ssl_session_timeout 5m; #ssl_protocols TLSv1 TLSv1.1 TLSv1.2; #ssl_dhparam /etc/ssl/certs/dhparam.pem; #ssl_ciphers 'EECDH+AESGCM:EDH+AESGCM:AES256+EECDH:AES256+EDH'; #ssl_prefer_server_ciphers on; #ssl_session_cache shared:SSL:10m; server_name t1.test.ru; access_log /var/log/nginx/access.log; error_log /var/log/nginx/error.log; location / { proxy_pass https://192.168.0.230; } } Posted at Nginx Forum: https://forum.nginx.org/read.php?21,291518,291518#msg-291518 ___ nginx-ru mailing list nginx-ru@nginx.org http://mailman.nginx.org/mailman/listinfo/nginx-ru -- Best regards, Andrey A. Kopeyko ___ nginx-ru mailing list nginx-ru@nginx.org http://mailman.nginx.org/mailman/listinfo/nginx-ru