ssh-client

Oleg Nazaroff написал(а) к Sergey Kaluzhskiy в Mar 25 15:57:26 по местному времени:

Нello, Sergey Kaluzhskiy.
On 15.03.2025 12:30 you wrote:

SK> Мсье знает толк в извращениях... Я так не пробовал)

Она саамааа пришлааа!!! ;)))
Моя бееелочка ;)))

SK> Ну вот тут странно что не так. Вот как я делал (с использованием бесплатных сертификатов
SK> LetsEncrypt) предположим, у тебя домен для фидо fido.example.com. А сам сервис доступен на
SK> http://localhost:8081 Тогда создаешь файл конфигурции nginx: server {
SK> server_name fido.example.com;
SK> listen 80;
SK> location /.well-known/ {
SK> alias /var/www/repos/.well-known/;
SK> break;
SK> }
SK> location / {
SK> proxy_pass http://localhost:8081;
SK> proxyset_header Нost $httphost;
SK> proxyset_header X-Real-IP $remoteaddr
SK> proxyset_header X-Forwarded-For $proxy_add_x_forwardedfor;
SK> proxysetheader X-Forwarded-Proto $scheme;
SK> proxyreadtimeout 900;
SK> }
SK> } location /.well-known/ понадобится для установки сертификата LetsEncrypt После добавления
SK> файла проверь, что сервис доступен (пока без хттпс) по адресу http://fido.example.com

Да он доступен, беда в браузерах уже. Им кто-то альтернативно умный напел, что http:// некошерный протокол и ну его, и не во всех это можно обойти так как это было лет 5-7 назад ;(

SK> Дальше sudo apt install python3-certbot-nginx

Эээ, ну вот эта вся шняга в юнохост кагбэ встроена уже, просто кнопки тыркаешь, но смысл тот же.

SK> И выполняешь комаду certbot --nginx Оно спроит на какой домен установить сертификат и
SK> установит его. После этого надо проверить, что сервис открывается по https.

Сейчас уже давно родовые сертификаты выдают, на домен/поддомен целиком.

SK> Если все успешно, то осталось только настроить автообновление сертификата (LetsEncrypt выдает
SK> сертификаты на 3 месяца). Для этого надо в папке /etc/cron.weekly создать файл certbot-renew с
SK> содержимым:

Вот да, но мы опять идем другим путем ;) более тернистым, но с разветвленным кроном с обратной связью, я как увидел не смог отказаться ;)

SK> #!/bin/bash /usr/bin/certbot renew /usr/sbin/service nginx reload и сделать этот файл
SK> исполняемым. Все, на этом настройка закончена. Я таких сервисов уже десятки поднял по работе.
SK> Но естественно это все требует нормальных выделенных серверов или виртуальных выделенных
SK> серверов. Как это делается на так вами любимом shared хостинге - хз. Разве что как-то через
SK> панель хостера втыкать эти сертификаты...

Во-первых то что ты тут объясняешь - не является НSTS от слова совсем ;) и к проблеме отношение имеет крайне минимальное - редирект https/http перестает отрабатываться со стороны жноды ровно за уровнем "..domain.ru/secure.."

Во-вторых, это все на VDS и происходит. Должно было дойти по описанию.. - докер на вирт.хостинг??? До такого даже я не додумался ;) А ежели тебя смутило слово "тынехост", так это русский перевод с "you no host" - французского форка "докера". И домен ..noho.st ("не хост"!), светящийся в нодлисте за 50/701 - это именно об нем ;)

В-третьих, проблем с выдачей вечных сертификатов вирт. хостером - совсем никаких, проблема будет только у тебя с тем, где физически находится посадошная точка домена. Это к тому, что я вот часть доменов держу на dns хостера, а физически они сильно не там. Ну потому что юзаю поддомен на тесты, например.


--
WBR, ON
--- ХотДог/2.14.5/Android