Перейти до

Ubilling и HTTPS


Рекомендованные сообщения

 

 

После каждого обновления вроде бы затирается .htaccess, по крайней мере из под userstats/.htaccess такое наблюдается.

Для админки какраз нет: https://github.com/nightflyza/UBinstaller/blob/master/autoubupdate.sh#L63

Не знаю что мешает, сделать идентично для кабинета, если требуется.

Ссылка на сообщение
Поделиться на других сайтах

wosign может выпустить мультидоменный - до 5 доменов, в letsencrypt - не нашел такой опции. Но это если нужно вдруг.

Собсно да, для ubilling.com, adminka.ubilling.com и userstats.ubilling.com можно сгенерить один серт. Серт на 2 года (вроде как и на 3 можно, но у меня почему-то не сделал, только 2).

Ссылка на сообщение
Поделиться на других сайтах

wosign может выпустить мультидоменный - до 5 доменов, в letsencrypt - не нашел такой опции. Но это если нужно вдруг.

Какая проблема?

 

letsencrypt certonly -d domain1 -d domain2 -d domain3

 

Только не всегда мультидоменный нужен.

Відредаговано vop
Ссылка на сообщение
Поделиться на других сайтах

 

 

Только не всегда мультидоменный нужен.

Но если все виртуал хосты - на одном IP и всем нужен https - обязательно мультидоменный же?!
Иначе при открытие страницы браузер будет ругаться на несоответствие имени в сертификате.

Ссылка на сообщение
Поделиться на других сайтах

 

Только не всегда мультидоменный нужен.

Но если все виртуал хосты - на одном IP и всем нужен https - обязательно мультидоменный же?!

Иначе при открытие страницы браузер будет ругаться на несоответствие имени в сертификате.

 

Для этого придумали SNI (сервер нейм индикейшн).

Ссылка на сообщение
Поделиться на других сайтах

Столкнулся с проблемой letsencrypt,  сертификат на WinXP не принимается браузерами IE8 и Opera. Может кому пригодиться

<VirtualHost *:80>
    DocumentRoot /www/domain.com
    ServerName domain.com
    ServerAlias www.domain.com
    RewriteEngine on

    RewriteCond %{HTTPS} off
    RewriteCond %{HTTP_USER_AGENT} !(Windows\ NT\ 5) [NC]
    RewriteRule ^ https://www.domain.com%{REQUEST_URI}
</VirtualHost>
<VirtualHost *:443>
    DocumentRoot /www/domain.com
    ServerName domain.com
    ServerAlias www.domain.com
    RewriteEngine on

    RewriteCond %{HTTPS} on
    RewriteCond %{HTTP_USER_AGENT} (Windows\ NT\ 5) [NC]
    RewriteRule ^ http://www.domain.com%{REQUEST_URI} [L]

    SSLCertificateFile /etc/letsencrypt/live/domain.com/fullchain.pem
    SSLCertificateKeyFile /etc/letsencrypt/live/domain.com/privkey.pem
    Include /etc/letsencrypt/options-ssl-apache.conf
</VirtualHost>
Ссылка на сообщение
Поделиться на других сайтах

 

Только не всегда мультидоменный нужен.

Но если все виртуал хосты - на одном IP и всем нужен https - обязательно мультидоменный же?!

Иначе при открытие страницы браузер будет ругаться на несоответствие имени в сертификате.

 

можешь для каждого виртуал-хоста свой серт прикрутить

Ссылка на сообщение
Поделиться на других сайтах

Создайте аккаунт или войдите в него для комментирования

Вы должны быть пользователем, чтобы оставить комментарий

Создать аккаунт

Зарегистрируйтесь для получения аккаунта. Это просто!

Зарегистрировать аккаунт

Вхід

Уже зарегистрированы? Войдите здесь.

Войти сейчас
  • Зараз на сторінці   0 користувачів

    Немає користувачів, що переглядають цю сторінку.

  • Схожий контент

    • Від vit75
      Могут ли крупные провайдеры как Киевстар и др. перехватить информацию которую посылает юзер на сайты с https. Проли, текст и пр.? Напимер пароль юзера на https://mail.ukr.net или тест письма?
    • Від eminema_nema
      Всім доброго дня!
      Встановлено Ubilling (1.1.2 rev 7784) на FreeBSD 12.1. Налаштовано дві мережеві карти, одна для зв'язку з  NAS (фізичний Mikrotik), інша - реальна ІР.
      NAS налаштовано таким чином. Все чудово працює, користувачів при зміні стану Активний\Неактивний перекидає по відповідних списках адрес. 
      Після встановлення ssl (letsencrypt) - перестає працювати, користувач на мікротіку залишається в списку Not Allow, хоча в білінгу він активний і навпаки. Якщо сам натисну кнопку "Регенерація бази" то лише тоді відбудеться зміна в списках адрес.
      Логи cron показують, що регенерація бази multigen відбувається кожної хвилини. SSL встановлено для адмінки та кабінету користувача.
      В чому може бути проблема?


    • Від Archy_k
      Всем привет.
      Столкнулся с проблемой: не обновился сертификат SSL.
      Попробовал вручную запустить скрипт:
      # /etc/letsencrypt/certbot/certbot-auto renew Creating virtual environment... Installing Python packages... /opt/eff.org/certbot/venv/bin/python: No module named pip.__main__; 'pip' is a package and cannot be directly executed Traceback (most recent call last):   File "/tmp/tmp.qUAUXX5FHZ/pipstrap.py", line 177, in <module>     sys.exit(main())   File "/tmp/tmp.qUAUXX5FHZ/pipstrap.py", line 149, in main     pip_version = StrictVersion(check_output([python, '-m', 'pip', '--version'])   File "/usr/lib/python2.7/subprocess.py", line 544, in check_output     raise CalledProcessError(retcode, cmd, output=output) subprocess.CalledProcessError: Command '['/opt/eff.org/certbot/venv/bin/python', '-m', 'pip', '--version']' returned non-zero exit status 1 И вот какой ответ получаю.
      Подскажите пожалуйста, как с этим справиться...
      Сервер с Debian и nginx
      Заранее спасибо.
    • Від major12
      Припустимо що ви заблокувати фаєрволом щось маленьке, наприклад 154.47.36.16/32 або щось велике, наприклад 178.154.128.0/17.
      І вам цікаво куди пробують стукатись користувачі чи мобільні аплікації.
       
      HTTP зараз стає менш популярним, більшість коннектів відбувається по HTTPS (TLS).
      Переважна більшість серверів і клієнтів вміють і будуть використовувати SNI https://uk.wikipedia.org/wiki/Server_Name_Indication
      Цим фактом ми і скористаємось.
       
      Отже крок 1 - перезбираємо nginx
      cd /usr/ports/www/nginx make config опції які нам потрібні
      [x] STREAM Enable stream module [x] STREAM_SSL_PREREAD Enable stream_ssl_preread module ну і далі make install clean чи portmaster nginx
       
      2 - конфігуруємо nginx
       
      stream { log_format main '[$time_local] $remote_addr $server_addr "$ssl_preread_server_name"'; access_log /var/log/ssl_preread.log main; server { listen 843; ssl_preread on; return ""; } } Коментарі:
      потрібно саме секція stream а не звична http
      рядок return ""; означає повернути 0 байт і закрити з'єднання, можна пробувати повертати щось інше, наприклад "Blocked!", але TLS стек клієнта ітак їх не зрозуміє і розірве конект.
       
      Не забуваємо перезапусти nginx і перевіряємо що він слухає порт
      netstat -na | grep 843  
      3 - перенаправляємо трафік
      ipfw add 05210 fwd 127.0.0.1,843 tcp from any to table\(40\) dst-port 443 В табличці 40 адреси які моніторимо (і блокуємо теж, бо коннекти на порт 443 будуть йти на наш nginx)
       
      Результат
      В файлі /var/log/ssl_preread.log маємо рядки типу
      [23/Dec/2018:19:13:28 +0200] 192.168.33.38 178.154.131.216 "yastatic.net" [23/Dec/2018:19:13:33 +0200] 192.168.25.47 87.240.129.133 "vk.com" Перша айпішка це клієнт, друга це (заблокований) ресурс.
      Раджу слідкувати за розміром логу, бо запитів від мобільних аплікацій дуууже багато.
      Користуємось поки не прийшов ESNI (Encrypted SNI), де хостів видно не буде.
       
       
       
       
    • Від www.хомнет.укр
      Доброго времени!
      Есть такая проблема...
      Юзверя выпускаются в Инет через микротик. Для тех у кого не проплачено - создается в файрволе адреслист "local_only" в котором ip всех абонов которым запрещен вход в инет. Но в файрволе есть правили которое позволяет заходить на сайт привата и ликпай для оплаты услуг. В следствии чего юзверя могут спокойно пользоваться и заходить на сайты соц сетей и таких как ютюб, гугл, яндекс...
      Вопрос: НУЖНО СОДАТЬ ПРАВИЛО ДЛЯ ЭТОГО СПИСКА IP ЧТОБЫ БЛОКИРОВАЛО ВХОД НА ДАННЫЕ РЕСУРСЫ.
×
×
  • Створити нове...