Page 1 of 16

поддержка SSL

Posted: Sat Dec 15, 2012 3:33 pm
by demonych
пытался добавить сайту поддержку SSL.
в панели ставлю соответствующую галочку, в появившихся полях вставляю в текстовом виде сертификат и незашифрованный privatekey.
Жму сохранить - получаю

Code: Select all

Editing Domain → Error: certificate is not valid
Сертификат свежеполученный у startssl.com

в чем дело - я не понял. единственная мысль возникла, что в сертификате прописан CN = www.mydomain.ru, а сайт все таки просто mydomain.ru с алиасом www.
Хотя в сертификате в поле "Дополнительное имя субъекта" указано
DNS-имя=www.mydomain.ru
DNS-имя=mydomain.ru

Re: поддержка SSL

Posted: Sun Dec 16, 2012 8:30 am
by skid
Думаю причина не в сертификате от startssl. Если бы ошибка была связана с некоректно заполненными полями, то в результате можно было бы увидеть сообщение:

Code: Select all

Error: ssl certificate key pair is not valid
Ошибка которую вы получили больше напоминает ситуацию, когда в поле с сертификатом добавлен ключ, а в поле для ключа сертификат. К такой ошибке подталкивал веб-интерфейс. В первых релизах интерфейса, первым шло поле с ключем, а вторым поле с сертфикатом. Я и сам пару раз так ошибся, но когда понял в чем причина, все поправил.

Обновите панель

Code: Select all

yum update vesta
и попробуйте подключить ssl снова.

Re: поддержка SSL

Posted: Sun Dec 16, 2012 2:00 pm
by demonych
не получилось...(
Image

Code: Select all

[root@centos ~]# rpm -qa |grep vesta-0.9.7
vesta-0.9.7-10.x86_64

Re: поддержка SSL

Posted: Sun Dec 16, 2012 4:01 pm
by skid
Я зарегистрировал акаунт в startssl, но судя по всему они подтверждают его не сразу. Сейчас воспроизвести проблему не могу.

Есть подозрение что для правильно работы сертификата нужен Intermediate сertificate от startssl, который можно скачать по ссылке ca.pem

Если это не сработает, то в качестве временного решения могу предложить хотфикс, где функция проверки
выключена.Чтобы применить его:

Code: Select all

wget "http://c.vestacp.com/hotfix/demonych.domain.sh" -O /usr/local/vesta/func/domain.sh

Re: поддержка SSL

Posted: Sun Dec 16, 2012 4:23 pm
by demonych
если я правильно понял, что промежуточный сертификат нужно вводить в SSL Certificate Authority - то не помогло

Re: поддержка SSL

Posted: Sun Dec 16, 2012 4:51 pm
by imperio
Здравствуйте, а можно этим бесплатным сертификатом защитить панель?
К примеру чтобы по адресу
https://111.111.111.1:8083/login/ было безопасное соединение?

Re: поддержка SSL

Posted: Mon Dec 17, 2012 12:36 pm
by skid
demonych, чтобы сертификат нормально добавился нужно в поле SSL Certificate Authority добавить и рутовый сертифкат и промежуточный. То есть итоговое поле должно было заполнено вот так:

Code: Select all

-----BEGIN CERTIFICATE-----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-----END CERTIFICATE-----
-----BEGIN CERTIFICATE-----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-----END CERTIFICATE-----
Функция проверки временно отключена в новом релизе. В ближайшее время перепешу ее так, чтобы сообщения об ошибках были более информативными. Поле SSL Certificate Authority было переименовано в SSL Certificate Authority / Intermediate (optional), чтобы точнее отражать его смысл.

Re: поддержка SSL

Posted: Mon Dec 17, 2012 12:48 pm
by skid
imperio wrote:Здравствуйте, а можно этим бесплатным сертификатом защитить панель?
К примеру чтобы по адресу
https://111.111.111.1:8083/login/ было безопасное соединение?
imperio, на счет бесплатности сертифката от startssl мне пока не все понятно. В остальном да, панель может работать с любым сертификатом. Только вот еще момент на счет url. Сертификаты выдаются доменам, а если обращаться по ip то в любом случае получите сообщение о том, что сертифкат не валиден. То есть если вам принадлежит домен imperio.ltd, сделайте поддомен vesta.imeprio.ltd и направьте его на 111.111.111.1. Затем закажите сертифкат на этот домен и когда вам пришлют файлы, замените ими те, что находятся в папке /usr/local/vesta/ssl/. Потом перезапустите панель командой service vesta restart и тогда по адресу https://vesta.imeprio.ltd:8083 все браузеры будут видеть валидный сертификат.

Re: поддержка SSL

Posted: Mon Dec 17, 2012 5:30 pm
by demonych
Ввел сертификаты, как сказано.
С первой попытки не сохранилось - выдал ошибку что то вроде - веста не вернула никаких данных. Со второй сохранилось успешно, но не заработало (я даж не увидел открытого 443 порта).
Сделал v-rebuild-web-domains - вроде заработало))

Теперь прошу консультацию.
Обязательно ли сайты с ssl требуют выделенного ip-адреса?
Можно ли на один ip посадить несколько ssl-сайтов (естественно, с разными сертификатами)?

Беглый гуглинг показал, что вроде бы и можно, и вроде бы и нет; на глаза попалось даж http://wiki.apache.org/httpd/NameBasedSSLVHostsWithSNI - полностью не скурил, но показалось что теоретическая возможность есть.

Просто у меня веб-сервер с панелью живет за NAT, поэтому его не совсем удобно выпускать в "большой интернет" (особенно, когда он "расплывается" на несколько ip-адресов) :-))


P.S. неплохая статья про StartSSL - найдена на просторах инета http://valera.ws/2012.03.11~free-valid-signed-ssl-certificate-with-sratssl/

Re: поддержка SSL

Posted: Mon Dec 17, 2012 6:23 pm
by imperio
skid, спасибо за совет