We are happy to announce that Vesta is back under active development as of 25 February 2024. We are working on v1 candidate and expect to engage more with the community over the coming months. We are committed to open source, and we encourage contributors to help us build the future of Vesta.
Установка SSL сертификата от WoSign Topic is solved
Установка SSL сертификата от WoSign
Приветствую всех форумчан. На Хабре была статья про бесплатный SSL сертификат на 3 года от WoSign. Может кто то уже устанавливал его на весту?
Ссылка на статью http://habrahabr.ru/post/252529/
Ссылка на статью http://habrahabr.ru/post/252529/
-
- Support team
- Posts: 1047
- Joined: Fri Mar 21, 2014 7:49 am
- Contact:
- Os: CentOS 6x
- Web: apache + nginx
Re: Установка SSL сертификата от WoSign
Что именно интересует?
Re: Установка SSL сертификата от WoSign
StartSSL наше все.
Все сертификаты ставятся одинаково, что мериканьски что китайски. :)
Все сертификаты ставятся одинаково, что мериканьски что китайски. :)
Re: Установка SSL сертификата от WoSign
Не совсем одинаково...
Надо еще DH параметры сгенерировать, панель этого не делает
На выходе должно получиться 3 файла:
домен.crt смержены все сертификаты в 1 файл
домен.key приватный ключ
домен.pem dh параметры
я создал такие шаблоны
force_https.tpl
force_https.stpl
выкидываю сертификаты которые сгенерировала панель и подсовываю свои
DH генерируется с помощью
Надо еще DH параметры сгенерировать, панель этого не делает
На выходе должно получиться 3 файла:
домен.crt смержены все сертификаты в 1 файл
домен.key приватный ключ
домен.pem dh параметры
я создал такие шаблоны
force_https.tpl
Code: Select all
server {
listen %ip%:%proxy_port%;
server_name %domain_idn% %alias_idn%;
error_log /var/log/%web_system%/domains/%domain%.error.log error;
return 301 https://%domain_idn%&request_uri;
}
Code: Select all
server {
listen %ip%:%proxy_ssl_port% spdy;
server_name %domain_idn% %alias_idn%;
ssl on;
ssl_protocols TLSv1 TLSv1.1 TLSv1.2;
ssl_ciphers kEECDH+AES128:kEECDH:kEDH:-3DES:kRSA+AES128:kEDH+3DES:DES-CBC3-SHA:!RC4:!aNULL:!eNULL:!MD5:!EXPORT:!LOW:!SEED:!CAMELLIA:!IDEA:!PSK:!SRP:!SSLv2;
ssl_certificate %home%/%user%/conf/web/ssl.%domain%.crt;
ssl_certificate_key %ssl_key%;
ssl_dhparam %home%/%user%/conf/web/ssl.%domain%.pem;
ssl_session_cache shared:SSL:10m;
ssl_session_timeout 24h;
ssl_prefer_server_ciphers on;
ssl_stapling on;
ssl_stapling_verify on;
resolver 8.8.8.8 8.8.4.4 ipv6=off valid=300s;
resolver_timeout 5s;
add_header Strict-Transport-Security "max-age=31536000; includeSubDomains";
error_log /var/log/%web_system%/domains/%domain%.error.log error;
location / {
proxy_pass https://%ip%:%web_ssl_port%;
location ~* ^.+\.(%proxy_extentions%)$ {
root %sdocroot%;
access_log /var/log/%web_system%/domains/%domain%.log combined;
access_log /var/log/%web_system%/domains/%domain%.bytes bytes;
expires max;
try_files $uri @fallback;
}
}
location /error/ {
alias %home%/%user%/web/%domain%/document_errors/;
}
location @fallback {
proxy_pass https://%ip%:%web_ssl_port%;
}
location ~ /\.ht {return 404;}
location ~ /\.svn/ {return 404;}
location ~ /\.git/ {return 404;}
location ~ /\.hg/ {return 404;}
location ~ /\.bzr/ {return 404;}
include %home%/%user%/conf/web/snginx.%domain%.conf*;
}
DH генерируется с помощью
Code: Select all
openssl dhparam -out ssl.domain.pem 4096
Re: Установка SSL сертификата от WoSign
собственно WoSign выдает сертификат для разных веб-серверов
там разложено по папкам (Apache, Nginx, Tomcat), панель соглашается жрать только сертификат для Apache, а в папке для Nginx как раз лежит тот самый смерженный файл, но панель его есть не хочет, ругается что-то там авторизация не найдена...
там разложено по папкам (Apache, Nginx, Tomcat), панель соглашается жрать только сертификат для Apache, а в папке для Nginx как раз лежит тот самый смерженный файл, но панель его есть не хочет, ругается что-то там авторизация не найдена...
Re: Установка SSL сертификата от WoSign
Это не совсем верно. Без dhparam можно прожить и оно будет работать, но при классификации получите С или B, A+ рейтинг без DH не получить совсем. Процедура генерации занимает довольно не кисло по времени и встраивать ее автоматически скорее приведет к батхертам, чем к чему-то толковому. Так что в базовой версии все ок, а дальше ручками-ручками.DFS wrote: Надо еще DH параметры сгенерировать, панель этого не делает
PS: Кстати, а есть панели, которые делают автоматом все? Расскажите :)
Re: Установка SSL сертификата от WoSign
так в итоге выяснил кто-то как эти сертификаты установить?
Re: Установка SSL сертификата от WoSign
Точно также, как и остальные - при редактировании домена, ставите галку с поддержкой SSL и копируете текст из файликов, что вам выдал WoSignvsk wrote:так в итоге выяснил кто-то как эти сертификаты установить?
viewtopic.php?f=29&t=3575&start=110#p29500
Re: Установка SSL сертификата от WoSign
Здравствуйте!
Добавил бесплатный сертификат от WoSign стандартными методами Vestacp.
Сертификат на сайте работает, зелененький замочек горит. и тут www.ssllabs.com проверял http://i.imgur.com/CAI81dO.png
но после подключения постоянно висит одно подключение по SSH http://i.imgur.com/kCL4Wup.png - что это может быть и как исправить?
p.s. подключал в панели так: http://i.imgur.com/O6BuFY1.png
Этот сайт www.ssllabs.com говорит что неправильная последовательность Chain issues Incorrect order, Extra certs http://i.imgur.com/9fgjUEH.png
как правильно выставить их?
Добавил бесплатный сертификат от WoSign стандартными методами Vestacp.
Сертификат на сайте работает, зелененький замочек горит. и тут www.ssllabs.com проверял http://i.imgur.com/CAI81dO.png
но после подключения постоянно висит одно подключение по SSH http://i.imgur.com/kCL4Wup.png - что это может быть и как исправить?
p.s. подключал в панели так: http://i.imgur.com/O6BuFY1.png
Этот сайт www.ssllabs.com говорит что неправильная последовательность Chain issues Incorrect order, Extra certs http://i.imgur.com/9fgjUEH.png
как правильно выставить их?
Re: Установка SSL сертификата от WoSign
Семь бед - один резет (с) как говорили раньше.differ wrote:но после подключения постоянно висит одно подключение по SSH http://i.imgur.com/kCL4Wup.png - что это может быть и как исправить?
Команда who покажет подключенных.