поддержка SSL
Re: поддержка SSL
Лучше расскажите, как подключали ключи китайские от WoSign.Yakoff wrote: затем получение ключей (WoSign);
Мне вот было бы интересно :)
Re: поддержка SSL
Нет, но это гораздо интереснее :) Дело в том, что для получения А и А+ нужно немного больше базовых настроек именно в конфигах и в конфигах в основном nginx'a.Yakoff wrote:никто не в курсе, что они имеют в виду?
Есть ли в панели настройка, отключающая "поддержку экспорта шифра"?
Небольшой стриптиз из конфига:
/home/user/conf/web/snginx.confShow
listen 179.62.117.138:443 ssl spdy;
server_name mirajane.ru http://www.mirajane.ru;
ssl on;
ssl_certificate /home/user/conf/web/ssl.mirajane.ru.pem;
ssl_certificate_key /home/user/conf/web/ssl.mirajane.ru.key;
resolver 8.8.8.8 8.8.4.4;
resolver_timeout 10s;
spdy_keepalive_timeout 300;
spdy_headers_comp 9;
ssl_stapling on;
ssl_stapling_verify on;
ssl_dhparam /etc/nginx/cert/dhparam.pem;
add_header Strict-Transport-Security "max-age=31536000;";
add_header Strict-Transport-Security "max-age=31536000; includeSubDomains";
add_header X-Frame-Options SAMEORIGIN;
add_header X-Content-Type-Options nosniff;
server_name mirajane.ru http://www.mirajane.ru;
ssl on;
ssl_certificate /home/user/conf/web/ssl.mirajane.ru.pem;
ssl_certificate_key /home/user/conf/web/ssl.mirajane.ru.key;
resolver 8.8.8.8 8.8.4.4;
resolver_timeout 10s;
spdy_keepalive_timeout 300;
spdy_headers_comp 9;
ssl_stapling on;
ssl_stapling_verify on;
ssl_dhparam /etc/nginx/cert/dhparam.pem;
add_header Strict-Transport-Security "max-age=31536000;";
add_header Strict-Transport-Security "max-age=31536000; includeSubDomains";
add_header X-Frame-Options SAMEORIGIN;
add_header X-Content-Type-Options nosniff;
В продолжении ссылка на статью - Nginx и https. Получаем класс А+. Крайне рекомендую ознакомиться. А результат трудов можно посмотреть:
Re: поддержка SSL
ну как..skurudo wrote:Лучше расскажите, как подключали ключи китайские от WoSign.Yakoff wrote: затем получение ключей (WoSign);
Мне вот было бы интересно :)
при получении геморрой был с регистрацией, а потом из архива вытащил три файлика из папки "for Apache", закопипастил - оно и подрубилось. А не должно было?))
Re: поддержка SSL
ого! немедленно читаю! спасибо за помощь!skurudo wrote:В продолжении ссылка на статью - Nginx и https. Получаем класс А+. Крайне рекомендую ознакомиться. А результат трудов можно посмотреть:..
Re: поддержка SSL
Пробовал заказывать сразу для 5-10 доменов сразу и прислали только сертификат. Мне стало интересно, раз у вас все прошло гладко, мне так не повезло или че ваще происходит :) Долго играться было лениво, т.к. в основном сертификаты мои от StartSSL.Yakoff wrote:ну как.. при получении геморрой был с регистрацией, а потом из архива вытащил три файлика из папки "for Apache", закопипастил - оно и подрубилось. А не должно было?))
Re: поддержка SSL
Ну тогда я счастливчик!))
Оба раза присылали архив, причем на первый раз на один домен, а второй (айпишник поменял) - на этот-же в качестве главного, плюс три дополнительных домена, на ТОТ-ЖЕ почтовый адрес, с незавершенной регистрацией..так-то да))
Оба раза присылали архив, причем на первый раз на один домен, а второй (айпишник поменял) - на этот-же в качестве главного, плюс три дополнительных домена, на ТОТ-ЖЕ почтовый адрес, с незавершенной регистрацией..так-то да))
Re: поддержка SSL
И не говорите, удачно зашли :)Yakoff wrote:Ну тогда я счастливчик!))
Re: поддержка SSL
не проходит проверку мой сайт на spdycheck.org, уважаемый skurudo.
Если Вас не затруднит, поглядите на это распутство, вторые сутки ничего не понимаю. как только я энтот SPDY не включал..
Может пробелы, переносы строк, последовательность играют роль?
ЗЫ для генерации dhparam.pem самовольно создал директорию
страшными словами на меня ругаетсяShow
SPDY Protocol Not Enabled!
Seriously? This SSL/TLS server is using the NPN Entension to tell browsers it supports alternative protocols, but SPDY is not a protocol it supports. The server is not making SPDY an option. Since all the pieces are in place, hopefully it will be easy to enable SPDY support with this server.
Seriously? This SSL/TLS server is using the NPN Entension to tell browsers it supports alternative protocols, but SPDY is not a protocol it supports. The server is not making SPDY an option. Since all the pieces are in place, hopefully it will be easy to enable SPDY support with this server.
Может пробелы, переносы строк, последовательность играют роль?
большой стриптизShow
server {
listen 443 ssl spdy;
server_name mydomen.net;
resolver 127.0.0.1;
ssl_stapling on;
ssl on;
ssl_certificate /home/mydomen/conf/web/ssl.mydomen.net.pem;
ssl_certificate_key /home/mydomen/conf/web/ssl.mydomen.net.key;
error_log /var/log/apache2/domains/mydomen.net.error.log error;
resolver_timeout 10s;
spdy_keepalive_timeout 300;
spdy_headers_comp 9;
ssl_stapling_verify on;
ssl_dhparam /etc/nginx/ast_cert/dhparam.pem;
add_header X-Frame-Options SAMEORIGIN;
add_header X-Content-Type-Options nosniff;
ssl_session_timeout 24h;
ssl_session_cache shared:SSL:2m;
ssl_protocols TLSv1 TLSv1.1 TLSv1.2;
ssl_ciphers kEECDH+AES128:kEECDH:kEDH:-3DES:kRSA+AES128:kEDH+3DES:DES-CBC3-SHA:!RC4:!aNULL:!eNULL:!MD5:!EXPORT:!LOW:!SEED:!CAMELLIA:!IDEA:!PSK:!SRP:!SSLv2;
ssl_prefer_server_ciphers on;
add_header Strict-Transport-Security "max-age=94608000;";
add_header Content-Security-Policy-Report-Only "default-src https:; script-src https: 'unsafe-eval' 'unsafe-inline'; style-src https: 'unsafe-inline'; img-src https: data:; font-src https: data:; report-uri /csp-report";
location / {
proxy_pass https://XXX.XXX.XXX.XXX:8443;
location ~* ^.+\.(jpeg|jpg|png|gif|bmp|ico|svg|tif|tiff|css|js|htm|html|ttf|otf|webp|woff|txt|csv|rtf|doc|docx|xls|xlsx|ppt|pptx|odf|odp|ods|odt|pdf|psd|ai|eot|eps|ps|zip|tar|tgz|gz|rar|bz2|7z|aac|m4a|mp3|mp4|ogg|wav|wma|3gp|avi|flv|m4v|mkv|mov|mp4|mpeg|mpg|wmv|exe|iso|dmg|swf)$ {
root /home/mydomen/web/mydomen.net/public_shtml;
access_log /var/log/apache2/domains/mydomen.net.log combined;
access_log /var/log/apache2/domains/mydomen.net.bytes bytes;
expires max;
try_files $uri @fallback;
}
}
location /error/ {
alias /home/mydomen/web/mydomen.net/document_errors/;
}
location @fallback {
proxy_pass https://XXX.XXX.XXX.XXX:8443;
}
location ~ /\.ht {return 404;}
location ~ /\.svn/ {return 404;}
location ~ /\.git/ {return 404;}
location ~ /\.hg/ {return 404;}
location ~ /\.bzr/ {return 404;}
include /home/mydomen/conf/web/snginx.mydomen.net.conf*;
}
listen 443 ssl spdy;
server_name mydomen.net;
resolver 127.0.0.1;
ssl_stapling on;
ssl on;
ssl_certificate /home/mydomen/conf/web/ssl.mydomen.net.pem;
ssl_certificate_key /home/mydomen/conf/web/ssl.mydomen.net.key;
error_log /var/log/apache2/domains/mydomen.net.error.log error;
resolver_timeout 10s;
spdy_keepalive_timeout 300;
spdy_headers_comp 9;
ssl_stapling_verify on;
ssl_dhparam /etc/nginx/ast_cert/dhparam.pem;
add_header X-Frame-Options SAMEORIGIN;
add_header X-Content-Type-Options nosniff;
ssl_session_timeout 24h;
ssl_session_cache shared:SSL:2m;
ssl_protocols TLSv1 TLSv1.1 TLSv1.2;
ssl_ciphers kEECDH+AES128:kEECDH:kEDH:-3DES:kRSA+AES128:kEDH+3DES:DES-CBC3-SHA:!RC4:!aNULL:!eNULL:!MD5:!EXPORT:!LOW:!SEED:!CAMELLIA:!IDEA:!PSK:!SRP:!SSLv2;
ssl_prefer_server_ciphers on;
add_header Strict-Transport-Security "max-age=94608000;";
add_header Content-Security-Policy-Report-Only "default-src https:; script-src https: 'unsafe-eval' 'unsafe-inline'; style-src https: 'unsafe-inline'; img-src https: data:; font-src https: data:; report-uri /csp-report";
location / {
proxy_pass https://XXX.XXX.XXX.XXX:8443;
location ~* ^.+\.(jpeg|jpg|png|gif|bmp|ico|svg|tif|tiff|css|js|htm|html|ttf|otf|webp|woff|txt|csv|rtf|doc|docx|xls|xlsx|ppt|pptx|odf|odp|ods|odt|pdf|psd|ai|eot|eps|ps|zip|tar|tgz|gz|rar|bz2|7z|aac|m4a|mp3|mp4|ogg|wav|wma|3gp|avi|flv|m4v|mkv|mov|mp4|mpeg|mpg|wmv|exe|iso|dmg|swf)$ {
root /home/mydomen/web/mydomen.net/public_shtml;
access_log /var/log/apache2/domains/mydomen.net.log combined;
access_log /var/log/apache2/domains/mydomen.net.bytes bytes;
expires max;
try_files $uri @fallback;
}
}
location /error/ {
alias /home/mydomen/web/mydomen.net/document_errors/;
}
location @fallback {
proxy_pass https://XXX.XXX.XXX.XXX:8443;
}
location ~ /\.ht {return 404;}
location ~ /\.svn/ {return 404;}
location ~ /\.git/ {return 404;}
location ~ /\.hg/ {return 404;}
location ~ /\.bzr/ {return 404;}
include /home/mydomen/conf/web/snginx.mydomen.net.conf*;
}
. на скорость хода не влияет? может права на файл надо выставить?/etc/nginx/ast_cert/dhparam.pem;
Re: поддержка SSL
Yakoff wrote:Если Вас не затруднит, поглядите на это распутство, вторые сутки ничего не понимаю. как только я энтот SPDY не включал..Может пробелы, переносы строк, последовательность играют роль?
Code: Select all
listen IP:443 ssl spdy;Не заметил, что оно как-то меделенее сним или без него. На генерацию может уйти порядочно времени на дешевых впс - это да, факт, но сгенерил и забыл.Yakoff wrote:ЗЫ для генерации dhparam.pem самовольно создал директорию. на скорость хода не влияет? может права на файл надо выставить?/etc/nginx/ast_cert/dhparam.pem;
Re: поддержка SSL
Заменил. Все равно не запускается.
может где-то еще в конфигах править надо?
/home/mydomain/conf/web/snginx.confShow
server {
server_name mydomain.com http://www.mydomain.com;
listen 80;
return 301 https://mydomain.com$request_uri;
}
server {
listen IP:443 ssl spdy;
server_name mydomain.com;
resolver 127.0.0.1;
ssl_stapling on;
ssl on;
ssl_certificate /home/mydomain/conf/web/ssl.mydomain.com.pem;
ssl_certificate_key /home/mydomain/conf/web/ssl.mydomain.com.key;
error_log /var/log/apache2/domains/mydomain.com.error.log error;
resolver_timeout 10s;
spdy_keepalive_timeout 300;
spdy_headers_comp 9;
ssl_stapling_verify on;
ssl_dhparam /etc/nginx/ast_cert/dhparam.pem;
add_header X-Frame-Options SAMEORIGIN;
add_header X-Content-Type-Options nosniff;
ssl_session_timeout 24h;
ssl_session_cache shared:SSL:2m;
ssl_protocols TLSv1 TLSv1.1 TLSv1.2;
ssl_ciphers kEECDH+AES128:kEECDH:kEDH:-3DES:kRSA+AES128:kEDH+3DES:DES-CBC3-SHA:!RC4:!aNULL:!eNULL:!MD5:!EXPORT:!LOW:!SEED:!CAMELLIA:!IDEA:!PSK:!SRP:!SSLv2;
ssl_prefer_server_ciphers on;
add_header Strict-Transport-Security "max-age=94608000;";
add_header Content-Security-Policy-Report-Only "default-src https:; script-src https: 'unsafe-eval' 'unsafe-inline'; style-src https: 'unsafe-inline'; img-src https: data:; font-src https: data:; report-uri /csp-report";
location / {
proxy_pass https://XXX.XXX.XXX.XXX:8443;
location ~* ^.+\.(jpeg|jpg|png|gif|bmp|ico|svg|tif|tiff|css|js|htm|html|ttf|otf|webp|woff|txt|csv|rtf|doc|docx|xls|xlsx|ppt|pptx|odf|odp|ods|odt|pdf|psd|ai|eot|eps|ps|zip|tar|tgz|gz|rar|bz2|7z|aac|m4a|mp3|mp4|ogg|wav|wma|3gp|avi|flv|m4v|mkv|mov|mp4|mpeg|mpg|wmv|exe|iso|dmg|swf)$ {
root /home/mydomain/web/mydomain.com/public_shtml;
access_log /var/log/apache2/domains/mydomain.com.log combined;
access_log /var/log/apache2/domains/mydomain.com.bytes bytes;
expires max;
try_files $uri @fallback;
}
}
location /error/ {
alias /home/mydomain/web/mydomain.com/document_errors/;
}
location @fallback {
proxy_pass https://XXX.XXX.XXX.XXX:8443;
}
location ~ /\.ht {return 404;}
location ~ /\.svn/ {return 404;}
location ~ /\.git/ {return 404;}
location ~ /\.hg/ {return 404;}
location ~ /\.bzr/ {return 404;}
include /home/mydomain/conf/web/snginx.mydomain.com.conf*;
}
server_name mydomain.com http://www.mydomain.com;
listen 80;
return 301 https://mydomain.com$request_uri;
}
server {
listen IP:443 ssl spdy;
server_name mydomain.com;
resolver 127.0.0.1;
ssl_stapling on;
ssl on;
ssl_certificate /home/mydomain/conf/web/ssl.mydomain.com.pem;
ssl_certificate_key /home/mydomain/conf/web/ssl.mydomain.com.key;
error_log /var/log/apache2/domains/mydomain.com.error.log error;
resolver_timeout 10s;
spdy_keepalive_timeout 300;
spdy_headers_comp 9;
ssl_stapling_verify on;
ssl_dhparam /etc/nginx/ast_cert/dhparam.pem;
add_header X-Frame-Options SAMEORIGIN;
add_header X-Content-Type-Options nosniff;
ssl_session_timeout 24h;
ssl_session_cache shared:SSL:2m;
ssl_protocols TLSv1 TLSv1.1 TLSv1.2;
ssl_ciphers kEECDH+AES128:kEECDH:kEDH:-3DES:kRSA+AES128:kEDH+3DES:DES-CBC3-SHA:!RC4:!aNULL:!eNULL:!MD5:!EXPORT:!LOW:!SEED:!CAMELLIA:!IDEA:!PSK:!SRP:!SSLv2;
ssl_prefer_server_ciphers on;
add_header Strict-Transport-Security "max-age=94608000;";
add_header Content-Security-Policy-Report-Only "default-src https:; script-src https: 'unsafe-eval' 'unsafe-inline'; style-src https: 'unsafe-inline'; img-src https: data:; font-src https: data:; report-uri /csp-report";
location / {
proxy_pass https://XXX.XXX.XXX.XXX:8443;
location ~* ^.+\.(jpeg|jpg|png|gif|bmp|ico|svg|tif|tiff|css|js|htm|html|ttf|otf|webp|woff|txt|csv|rtf|doc|docx|xls|xlsx|ppt|pptx|odf|odp|ods|odt|pdf|psd|ai|eot|eps|ps|zip|tar|tgz|gz|rar|bz2|7z|aac|m4a|mp3|mp4|ogg|wav|wma|3gp|avi|flv|m4v|mkv|mov|mp4|mpeg|mpg|wmv|exe|iso|dmg|swf)$ {
root /home/mydomain/web/mydomain.com/public_shtml;
access_log /var/log/apache2/domains/mydomain.com.log combined;
access_log /var/log/apache2/domains/mydomain.com.bytes bytes;
expires max;
try_files $uri @fallback;
}
}
location /error/ {
alias /home/mydomain/web/mydomain.com/document_errors/;
}
location @fallback {
proxy_pass https://XXX.XXX.XXX.XXX:8443;
}
location ~ /\.ht {return 404;}
location ~ /\.svn/ {return 404;}
location ~ /\.git/ {return 404;}
location ~ /\.hg/ {return 404;}
location ~ /\.bzr/ {return 404;}
include /home/mydomain/conf/web/snginx.mydomain.com.conf*;
}
может где-то еще в конфигах править надо?