1 Тема от neket89

  • neket89
  • neket89
  • Пользователь
  • Offline
  • Откуда: Пермь
  • Зарегистрирован: 2013-01-07
  • Сообщений: 276

Доброго времени суток! У меня установлен LAMP + Webmin + Virtualmin. Решил я один из своих доменов перевести на https. Получил сертификат SSL, пошёл в настройку модулей Virtualmin и выбрал пункт "SSL website". При сохранении настроек, выводится сообщение:

Failed to save enabled features : The Apache configuration on your system does not appear to be listening on port 443, which is needed to host SSL websites. If you do not plan to host SSL sites, this feature should be disabled in Virtualmin's module configuration page.

При этом в файле /etc/httpd/modules.d/40_mod_ssl.conf есть запись "Listen 443". Модуль "mod_ssl" загружен.

Пробовал искать в интернете ответ на данный вопрос. На русском языке вообще ничего не нашёл. На английском ничего подходящего тоже не увидел. Дело в самом Virtualmin или в apache? Как это выяснить?

2 Ответ от XliN

  • XliN
  • XliN
  • Пользователь
  • Offline
  • Откуда: Белгород
  • Зарегистрирован: 2012-06-08
  • Сообщений: 2,005

Тебе надо в vhost.d, там где у тебя прописан сайт на 80 порт, добавить тоже самое только для 443. Две одинаковых конфигурации будет, только в последней укажи где лежать SSL сертификат, ключ и если нужно CA сертификат.

MXLinux 19.3 - xfce
Чем больше я работаю админом, тем больше понимаю,
насколько волшебна фраза - "Нет технической возможности!"
==============================================

Сайт XliN

3 Ответ от neket89

  • neket89
  • neket89
  • Пользователь
  • Offline
  • Откуда: Пермь
  • Зарегистрирован: 2013-01-07
  • Сообщений: 276

Прописал в httpd.conf:

Spoiler
<VirtualHost x.x.x.x:443>
ServerName xdomain.com:443
DocumentRoot /domains/xdomain.com/public_html
ErrorLog /var/log/virtualmin/xdomain.com_error_log
CustomLog /var/log/virtualmin/xdomain.com_access_log combined
ScriptAlias /cgi-bin/ /domains/xdomain.com/cgi-bin/

SSLEngine on
SSLCertificateFile /domains/xdomain.com/ssl.crt
SSLCertificateKeyFile /domains/xdomain.com/ssl.key
SSLCACertificateFile /domains/xdomain.com/ssl.crt
SSLCARevocationFile /domains/xdomain.com/ssl.crl
SSLOptions +StdEnvVars
BrowserMatch ".*MSIE.*" \
    nokeepalive ssl-unclean-shutdown \
    downgrade-1.0 force-response-1.0

    DirectoryIndex index.html index.htm index.php index.php4 index.php5
<Directory /domains/xdomain.com/public_html>
    SSLOptions +StdEnvVars
    Options -Indexes +IncludesNOEXEC +SymLinksIfOwnerMatch
    allow from all
    AllowOverride All Options=ExecCGI,Includes,IncludesNOEXEC,Indexes,MultiViews,SymLinksIfOwnerMatch
</Directory>
<Directory /domains/xdomain.com/cgi-bin>
    SSLOptions +StdEnvVars
    allow from all
    AllowOverride All Options=ExecCGI,Includes,IncludesNOEXEC,Indexes,MultiViews,SymLinksIfOwnerMatch
</Directory>
RewriteEngine on
RewriteCond %{HTTP_HOST} =xdomain.com
RewriteRule ^(.*) http://xdomain.com:20000/ [R]
RewriteCond %{HTTP_HOST} =admin.xdomain.com
RewriteRule ^(.*) https://xdomain.com:10000/ [R]
</VirtualHost>

Всё работает отлично через https! Сертификат принимается, трафик шифруется. Сейчас буду пробовать включать опцию в Virtualmin. Такое чувство что он всё испортит...

4 Ответ от neket89 (2014-04-28 21:55:29 отредактировано neket89)

  • neket89
  • neket89
  • Пользователь
  • Offline
  • Откуда: Пермь
  • Зарегистрирован: 2013-01-07
  • Сообщений: 276

Всё равно Virtualmin не хочет включать включать у себя модуль SSL:

Failed to save enabled features : The Apache configuration on your system does not appear to be listening on port 443, which is needed to host SSL websites. If you do not plan to host SSL sites, this feature should be disabled in Virtualmin's module configuration page.

Но ведь у меня всё работает, почему он не хочет включать?

5 Ответ от neket89

  • neket89
  • neket89
  • Пользователь
  • Offline
  • Откуда: Пермь
  • Зарегистрирован: 2013-01-07
  • Сообщений: 276

Выявилась другая проблема. Создал другой сертификат для другого домена, всё также настроил, как в посте выше. При заходе на domain2.com пишет что сертификат не действителен поскольку он предназначен для domain1.com. Пути указаны верно, сертификат точно рабочий. Почему так происходит?

6 Ответ от XliN

  • XliN
  • XliN
  • Пользователь
  • Offline
  • Откуда: Белгород
  • Зарегистрирован: 2012-06-08
  • Сообщений: 2,005

В сертификате должно совпадать CN и имя домена.

MXLinux 19.3 - xfce
Чем больше я работаю админом, тем больше понимаю,
насколько волшебна фраза - "Нет технической возможности!"
==============================================

Сайт XliN

7 Ответ от neket89 (2014-05-07 06:21:15 отредактировано neket89)

  • neket89
  • neket89
  • Пользователь
  • Offline
  • Откуда: Пермь
  • Зарегистрирован: 2013-01-07
  • Сообщений: 276

Короче, косяк вот в чём. Почему-то берётся только сертификат того сайта https, который указан первый в httpd.conf. Все остальные игнорируются...

8 Ответ от XliN

  • XliN
  • XliN
  • Пользователь
  • Offline
  • Откуда: Белгород
  • Зарегистрирован: 2012-06-08
  • Сообщений: 2,005

neket89⇓ пишет:

SSLCACertificateFile /domains/xdomain.com/ssl.crt
SSLCARevocationFile /domains/xdomain.com/ssl.crl

Можно же обойтись без этих строчек? Нет?

MXLinux 19.3 - xfce
Чем больше я работаю админом, тем больше понимаю,
насколько волшебна фраза - "Нет технической возможности!"
==============================================

Сайт XliN

9 Ответ от neket89

  • neket89
  • neket89
  • Пользователь
  • Offline
  • Откуда: Пермь
  • Зарегистрирован: 2013-01-07
  • Сообщений: 276

Можно же обойтись без этих строчек? Нет?

Ну по крайней мере один домен точно без этих строчек работает. Сейчас попробую добавить второй

10 Ответ от neket89

  • neket89
  • neket89
  • Пользователь
  • Offline
  • Откуда: Пермь
  • Зарегистрирован: 2013-01-07
  • Сообщений: 276

Добавил второй домен, ошибка та же(

11 Ответ от XliN (2014-05-08 18:50:07 отредактировано XliN)

  • XliN
  • XliN
  • Пользователь
  • Offline
  • Откуда: Белгород
  • Зарегистрирован: 2012-06-08
  • Сообщений: 2,005

neket89,
Да я сам бьюсь с этими сертификатами. Пользуясь случаем спрошу. Как генеришь их? У меня куча сайтов. Я сделал корневой CA и подписываю им все сертификаты для доменов. Все работает, но IE8 не принимает. Выдает какой то localhost smile

MXLinux 19.3 - xfce
Чем больше я работаю админом, тем больше понимаю,
насколько волшебна фраза - "Нет технической возможности!"
==============================================

Сайт XliN

12 Ответ от neket89

  • neket89
  • neket89
  • Пользователь
  • Offline
  • Откуда: Пермь
  • Зарегистрирован: 2013-01-07
  • Сообщений: 276

XliN⇓ пишет:

Пользуясь случаем спрошу. Как генеришь их?

Я их получаю бесплатно с помощью сайта startssl.com. На хабре даже была целая статья на эту тему. IE8 вроде не ругается, всё отлично.

13 Ответ от XliN

  • XliN
  • XliN
  • Пользователь
  • Offline
  • Откуда: Белгород
  • Зарегистрирован: 2012-06-08
  • Сообщений: 2,005

neket89⇓ пишет:

Я их получаю бесплатно с помощью сайта startssl.com.

И они подписаны офф. центром сертификации? Т.е. нормальным CA? Они высылают CA  и сертификат?

MXLinux 19.3 - xfce
Чем больше я работаю админом, тем больше понимаю,
насколько волшебна фраза - "Нет технической возможности!"
==============================================

Сайт XliN

14 Ответ от neket89

  • neket89
  • neket89
  • Пользователь
  • Offline
  • Откуда: Пермь
  • Зарегистрирован: 2013-01-07
  • Сообщений: 276

XliN⇓ пишет:

И они подписаны офф. центром сертификации? Т.е. нормальным CA? Они высылают CA  и сертификат?

Да, всё как положено. Ну естественно, поскольку эти сертификаты начального уровня, там есть ряд ограничений. Например, ими можно подписать домен и только 1 поддомен. Например, domain.com и www.domain.com. За деньги можно покупать сертификаты уже более высокого уровня.

А так это нормальный не самоподписанный сертификат.

15 Ответ от XliN

  • XliN
  • XliN
  • Пользователь
  • Offline
  • Откуда: Белгород
  • Зарегистрирован: 2012-06-08
  • Сообщений: 2,005

Тоесть если у меня куча доменов *.test.lan, то я не смогу их подписать? А если я сделаю куча логинов? ))))

MXLinux 19.3 - xfce
Чем больше я работаю админом, тем больше понимаю,
насколько волшебна фраза - "Нет технической возможности!"
==============================================

Сайт XliN

16 Ответ от neket89

  • neket89
  • neket89
  • Пользователь
  • Offline
  • Откуда: Пермь
  • Зарегистрирован: 2013-01-07
  • Сообщений: 276

XliN⇓ пишет:

Тоесть если у меня куча доменов *.test.lan, то я не смогу их подписать?

Можно, но уже за денежку, приобретя сертификат более высокого уровня.

XliN⇓ пишет:

А если я сделаю куча логинов? ))))

Такую возможность не проверял))

17 Ответ от neket89

  • neket89
  • neket89
  • Пользователь
  • Offline
  • Откуда: Пермь
  • Зарегистрирован: 2013-01-07
  • Сообщений: 276

Выяснил что mod_ssl не поддерживает несколько сайтов, поэтому для решения этой проблемы необходима установка gnutls. Вот ссылки по теме:
http://habrahabr.ru/post/124864/
http://sadmin.pp.ua/ssl-neskolko-sajtov … om-ip.html
https://wiki.archlinux.org/index.php/Mod_gnutls

Из репозитория всё установил, в phpinfo отображается что модуль подгружен как расширение php. Но когда я прописываю всё через httpd.conf, при применении настроек apache выдаёт сообщение не может найти модуль gnutls((