Вопрос https на ISPManager

R

romvi

Постоялец
Регистрация
20 Апр 2016
Сообщения
82
Реакции
4
Значит имеется сервер с панелью ISPManager5. На нем несколько сайтов по протоколу http. Также есть один сайт с сертификатом от Letsencrypt, который был выпущен посредством панели ISPManager. Сайт нормально работает по протоколу https. Но вот заметил проблему: если остальные сайты загружать по адресу https:// то появляется ошибка, что сертификат относится как раз для того домена. Как такое может быть?
 
Такое может быть очень даже легко и это сравнительно таки нормально из-за использования SNI.

Представьте себе у вас 1 адрес и на нем сидит n-сайтов. SNI позволяет определять имя хоста во время рукопожатия и соотвественно клиента переадресовывать к нужному вам сайту, а не к какому-то рандомному. В случае с http проблем обычно нет, по крайней мере таких, а вот с SSL таки есть, потому что сертификат привязан к имени домена.

Это ответ на то, почему так.

Бороться с этим можно и наверное даже нужно. Делать это лучше всего на уровне nginx.
 
romvi написал(а):
Значит имеется сервер с панелью ISPManager5. На нем несколько сайтов по протоколу http. Также есть один сайт с сертификатом от Letsencrypt, который был выпущен посредством панели ISPManager. Сайт нормально работает по протоколу https. Но вот заметил проблему: если остальные сайты загружать по адресу https:// то появляется ошибка, что сертификат относится как раз для того домена. Как такое может быть?
Нажмите для раскрытия...
Все очень просто, если Вы перейдете по IP, будет такая же проблема, соответственно Вам нужно задать по дефолту любой другой домен без SSL либо создать технический домен и назначить его по дефолту.

P.S. при создании и редактировании www-доменов есть пункт "Приоритетный", вот его активируйте и домен станет по дефолту.

skurudo написал(а):
Такое может быть очень даже легко и это сравнительно таки нормально из-за использования SNI.

Представьте себе у вас 1 адрес и на нем сидит n-сайтов. SNI позволяет определять имя хоста во время рукопожатия и соотвественно клиента переадресовывать к нужному вам сайту, а не к какому-то рандомному. В случае с http проблем обычно нет, по крайней мере таких, а вот с SSL таки есть, потому что сертификат привязан к имени домена.

Это ответ на то, почему так.

Бороться с этим можно и наверное даже нужно. Делать это лучше всего на уровне nginx.
Нажмите для раскрытия...
Бредового ответа я еще не слышал.
 
Все очень просто, если Вы перейдете по IP, будет такая же проблема, соответственно Вам нужно задать по дефолту любой другой домен без SSL либо создать технический домен и назначить его по дефолту.
Нажмите для раскрытия...
Немного хочу добавить и поправить.
Ошибка будет в любом случае появляться, так-как для ssl тоже нужный дефолтный.
Правильным и адекватным решением считаю, что необходимо написать RewriteRule на дефолтном SSL www-домене, которое будет проверять:
- если пользователь зашел по HTTPS, то проверить адрес сайта, и если адрес сайта не site.ru - то сделать редирект на Для просмотра ссылки Войди или Зарегистрируйся.

У себя я именно так и сделал, причем для http тоже написал. (зачем пользователю видеть некрасивые цифри в виде ip)

И к сожалению даже в этом случае будет появляться предупреждение о неверном сертификате.

И еще одно решение, и оно самое верное-это для каждого SLL-домен свой IP :) Ну хотя-бы IPv6.
 
А что вообще мешает перевести все сайты на ssl вить он на холяву получается в isp manager за 2 минуты и не парится вообще.
 
xsacha написал(а):
А что вообще мешает перевести все сайты на ssl вить он на холяву получается в isp manager за 2 минуты и не парится вообще.
Нажмите для раскрытия...
Гугл не любит самописные сертификаты, поэтому лучше их не юзать
 
Код: 
Идем в конфиг /usr/local/mgr5/etc/ihttpd.conf. И добавляем в пункт listen такие строки:

certkey /var/www/httpd-cert/tempssl/s7.abcd.services_le1.key
cert /var/www/httpd-cert/tempssl/s7.abcd.services_le1.crtca


Было:
listen {
        ip 91.121.210.210
        redirect
}


Стало:
listen {
        ip 91.121.210.210
        certkey /var/www/httpd-cert/tempssl/s7.abcd.services_le1.key
        cert /var/www/httpd-cert/tempssl/s7.abcd.services_le1.crtca    
        redirect
}
 
Сейчас проще стало, идем в "Адреса панели" - Сертификаты - Создать
 
Войдите или зарегистрируйтесь для ответа.
Назад
Сверху