поддержка SSL

[Yakoff]

Не заметил, что оно как-то меделенее сним или без него. На генерацию может уйти порядочно времени на дешевых впс - это да, факт, но сгенерил и забыл.

Отлично, а я боялся что подтупливать будет! а по времени - 3,5 часа на низшем тарифе от DO. А так как я указал в первый раз несуществующую папку, он в сумме цельных осемь часов генерил.

[skurudo]

Отлично, а я боялся что подтупливать будет! а по времени - 3,5 часа на низшем тарифе от DO. А так как я указал в первый раз несуществующую папку, он в сумме цельных осемь часов генерил.

На дохлых впс с 256мб памяти и совсем дохлым процом в 1000мгц у меня это заняло порядка 14 часов. На атоме тоже что-то порядка 8-10 часов было. Но это единичные случаи с малыми мощностями. На ксеонах и кореай от 20-40 минут до часа максимум.

[Yakoff]

Но что с spdy делать?? в какую сторону кроме /home/mydomain/conf/web/snginx.conf смотреть?

[skurudo]

Но что с spdy делать?? в какую сторону кроме /home/mydomain/conf/web/snginx.conf смотреть?

Ну он так и включается вообще-то:

Code: Select all

listen IP:443 ssl spdy;

перезагружаете nginx.

Code: Select all

service nginx reload

[Yakoff]

Семён Семёныч! Слона то я и не заметил!
Чего это,думаю, nginx так просто дает конфигурационный файл править?!
В ощем перезагрузил nginx, он и залип. Не хочу, говорит с такими настройками работать.
залил дефолтный конфиг - запустился. Потом, правда интернет закончился (иногда и не такое бывает!), а на почту теперь в 9:15 cron ругается.
В общем будем посмотреть, чего там не так. Обязательно отпишусь.
Спасибо!

[Yakoff]

Уважаемый skurudo! Я жутко извиняюсь за назойливость, не не могли бы ли Вы показать большой стриптиз из /home/mydomain/conf/web/snginx.conf?

Дело в том, что в статье, с которой Вы советовали ознакомиться, DimaSmirnov, как я подозреваю, описывал конфиг голого nginx, без vestacp. На эту мысль меня натолкнуло наличие двух секций server, в первой из которых идет переадресация с 80 порта на https. В весте, как мне думается, переадресация настроена в другом файле.

Хотелось бы не писать в конфиг лишнего.
Например, IMHO, все SSL выжигает калёным железом сама веста.

В общем запутался я.

[Yakoff]

И вот еще очередное "как?":

начал сейчас делать https для другого сайта под тем-же пользователем.
И опять споткнулся о /home/user/conf/web/snginx.conf.
Там ведь тупо идет речь о mydomain1.net! Куда лепить записи для mydomain2.net?
Это же вообще невообразимая каша получится!

[skurudo]

Семён Семёныч! Слона то я и не заметил! Чего это,думаю, nginx так просто дает конфигурационный файл править?!

А то! В том-то и прелесть - можно править практически где угодно и как, огромные возможности.

В ощем перезагрузил nginx, он и залип. Не хочу, говорит с такими настройками работать.
залил дефолтный конфиг - запустился. Потом, правда интернет закончился (иногда и не такое бывает!), а на почту

Обязательно делаем копию конфига перед правкой.
Перед перезапуском не помешает сделать проверку конфига - nginx -t
Проверить конфиг и покажет ошибки.

[skurudo]

Уважаемый skurudo! Я жутко извиняюсь за назойливость, не не могли бы ли Вы показать большой стриптиз из /home/mydomain/conf/web/snginx.conf?

Держите, жалко что ли? :)

здесь неприличный файл целиком, без рекламы и смсShow

Code: Select all

server {
    listen      179.60.147.178:443 ssl spdy;
    server_name mirajane.ru www.mirajane.ru;
    ssl         on;
    ssl_certificate      /home/admin/conf/web/ssl.mirajane.ru.pem;
    ssl_certificate_key  /home/admin/conf/web/ssl.mirajane.ru.key;
    resolver 8.8.8.8 8.8.4.4;
    resolver_timeout 10s;
    spdy_keepalive_timeout 300;
    spdy_headers_comp 9;
    ssl_stapling on;
    ssl_stapling_verify on;
    ssl_dhparam /etc/nginx/cert/dhparam.pem;
    add_header Strict-Transport-Security "max-age=31536000;";
    add_header Strict-Transport-Security "max-age=31536000; includeSubDomains";
    add_header X-Frame-Options SAMEORIGIN;
    add_header X-Content-Type-Options nosniff;

    error_log  /var/log/apache2/domains/mirajane.ru.error.log error;

    location / {
        proxy_pass      https://179.60.147.178:8443;
        location ~* ^.+\.(jpeg|jpg|png|gif|bmp|ico|svg|tif|tiff|css|js|htm|html|ttf|otf|webp|woff|txt|csv|rtf|doc|docx|xls|xlsx|ppt|pptx|odf|odp|ods|odt|pdf|psd|ai|eot|eps|ps|zip|t$
            root           /home/admin/web/mirajane.ru/public_html;
            access_log     /var/log/apache2/domains/mirajane.ru.log combined;
            access_log     /var/log/apache2/domains/mirajane.ru.bytes bytes;
            expires        max;
            try_files      $uri @fallback;
        }
    }

    location /error/ {
        alias   /home/admin/web/mirajane.ru/document_errors/;
    }
    location @fallback {
        proxy_pass      https://179.60.147.178:8443;
    }

    location ~ /\.ht    {return 404;}
    location ~ /\.svn/  {return 404;}
    location ~ /\.git/  {return 404;}
    location ~ /\.hg/   {return 404;}
    location ~ /\.bzr/  {return 404;}

    disable_symlinks if_not_owner from=/home/admin/web/mirajane.ru/public_html;

    include /home/admin/conf/web/snginx.mirajane.ru.conf*;
}

Дело в том, что в статье, с которой Вы советовали ознакомиться, DimaSmirnov, как я подозреваю, описывал конфиг голого nginx, без vestacp. На эту мысль меня натолкнуло наличие двух секций server, в первой из которых идет переадресация с 80 порта на https. В весте, как мне думается, переадресация настроена в другом файле.

Это не принципиальный момент, голый или не голый. На дело он влияет. В нашем случае секция с переадресацией должна быть в другом файле, только и всего.

Вот здесь переадресация с http на https -> /home/admin/conf/web/nginx.conf

Code: Select all

server {
    server_name dsmirnov.pro www.dsmirnov.pro;
    listen 80;
    return 301 https://dsmirnov.pro$request_uri;
}

А здесь часть с https -> /home/admin/conf/web/snginx.conf

Code: Select all

server {
    listen 443 ssl spdy;
    server_name dsmirnov.pro;
    resolver 127.0.0.1;
    ssl_stapling on;
..поскипал из статьи, не полностью привожу

Хотелось бы не писать в конфиг лишнего.
Например, IMHO, все SSL выжигает калёным железом сама веста.

В каком смысле выжигает? Веста создает конфиги для доменов по образу и подобию в шаблонах (nginx - /usr/local/vesta/data/templates/web/nginx/ и apache2 - /usr/local/vesta/data/templates/web/apache2/; tpl для http и stpl для https).

В общем запутался я.

Значится так, нужно распутываться )

[skurudo]

И вот еще очередное "как?":начал сейчас делать https для другого сайта под тем-же пользователем.
И опять споткнулся о /home/user/conf/web/snginx.conf. Там ведь тупо идет речь о mydomain1.net! Куда лепить записи для mydomain2.net? Это же вообще невообразимая каша получится!

Что значит каша? У нас есть две пары конфигов под пользователем: 2 под прокси сервер (nginx) и 2 под вебсервер (apache2) -- nginx/snginx - http/https, apache2/sapache2 - http/https. Если у пользователя не один домен, то записи добавляются в те же самые файлы вниз. Да, они не создаются для _каждого_ домена отдельно, разграничение идет по пользователю. Но с другой стороны это поддерживает идею о том, что один пользователь = один проект - пожалуй, один из лучших вариантов. :)

А еще про кашу, вы бы видели конфиг ISPManager, там конфигурационные файлы nginx/apache по всем пользователям и доменам лежат в одном файле. Так что в Весте еще туда-сюда на самом деле :-))