как я решал эту проблему...
тоже напоролся дважды при переводе сайта из1251 на ю-8 и уходе из облака в коробку на Б-24
ошибка пакостная действительно, на нее завязано много полезных функций, которые попросту не станут работать
начинаем сначала
комбинация такая Linux CentOS 7.4 + nginx 1.12.2 + тело
1. раздобыть сертификат SSL
у нас изначально стоял КОМОД и по принципу "от добра добра не ищут" поперся обратно к ним же, т.к. дают на 3 месяца бесплатный с возможностью продления
самоподписанты - дело хорошее, но до поры - до времени и не для публичного сайта
для знакомых с английским языком не по наслышке - можно напрямую написать через сайт КОМОДа, для нуждающихся в шефской помощи - мне лично понравился сервис и отношение к клиентам на FirstSSL
у КОМОДа примерно час, у этих минут 30 заняло
беда!: КОМОД пришлет 4 файла, из которых 1 - это сам сертфикат, а три других надо саморучно подвергнуть конкатенации, дабы слепить из них *.ca-bundle файл
одна ошибка в последовательности и сертификат уже не пройдет проверку на ssllabs и прочих подобных ресурсах, будет или некорректно построеная цепочка, или отсутствие цепочки или еще чего не так, и снова - все на "НЕРУССКОМ ЯЗЫКЕ":
от FirstSSL же пришло все готовенькое, оставалось только засунуть в нужное место, т.е. сам сертификат и собраный *.ca-bundle
2. теперь пытаемся пробраться в каталог /etc/nginx/ssl/ и засунуть туда оба эти произведения ИТ-исскуства, предварительно хорошенько запомнив их названия! для этой цели я использовал классический прием по типу Мойдомен_ру.*
после того, как они уже там - поиграться с правами на доступ
3. теперь надо зайти в каталог /etc/nginx/bx/conf/ и отредактировать файл ssl.conf
там уже будут три строчки:
SSL_certificete_file
SSL_certificste_key_file
dhparam_file
которые относятся ко встроенному сертификату Битрик Вэбокружение, которому никто не доверяет все равно
приводим их к такому виду :
#SSL_certificete_file
#SSL_certificste_key_file
dhparam_file
и выше пишем все с точностью, меняя только название и расширение для своих сертификатов (по умолчанию там будет *.pem, и придется заменить на *.crt & *.key)
не забываем перезапустить сам nginx после всех этих манипуляций
если же у вас просто апач, то принцип то действий похожий, вот только каталог будет /etc/pki/tls// и в нем две папочки
- cert для сертификатов
-private для ключей
также рекомендуется перезапустить апач
радости не было конца, думал, что все уже решил, однако не тут то было! часть ошибок с сокетами ушла, которая ниже этажом, а сама строка Работа с сокетами = по прежнему fail.....
бежим в файл /etc/hosts и видим такую печальную картину
127.0.0.1 local local.localdomain
::1 local local.domain local6 local.localdomain6
пустое место
#ANSIBLE MANAGED...... НЕ совать ничего после этой строчки
ваш_внутренний адрес_сервера имя сервера имя_сервера.домен
если все работает только внутри сети = это еще куда ни шло, но когда выпустили джинна наружу, то вместо пустоты выше последних строк
пишем
ваш_внутренний адрес_сервера DNS_адрес_узла
(192.168.1.23 my_domain.*)
причем записать надо разом оба варианта с www и без
можно даже употребить формочку
#bx-host
(192.168.1.23 my_domain.*)
если у вас на сервре будет крутиться несколько сайтов
и для некоторых сетей может потребоваться добавление и внешнего IP тоже, хотя не всегда
только после ВСЕХ этих манипуляций все прекрасно завелось и поехало, замок позеленел с досады, что больше не к чему придраться и придется открывать страницу
и только после того как - удалось поднять Push, ибо он тоже на это завязан
тоже напоролся дважды при переводе сайта из1251 на ю-8 и уходе из облака в коробку на Б-24
ошибка пакостная действительно, на нее завязано много полезных функций, которые попросту не станут работать
начинаем сначала
комбинация такая Linux CentOS 7.4 + nginx 1.12.2 + тело
1. раздобыть сертификат SSL
у нас изначально стоял КОМОД и по принципу "от добра добра не ищут" поперся обратно к ним же, т.к. дают на 3 месяца бесплатный с возможностью продления
самоподписанты - дело хорошее, но до поры - до времени и не для публичного сайта
для знакомых с английским языком не по наслышке - можно напрямую написать через сайт КОМОДа, для нуждающихся в шефской помощи - мне лично понравился сервис и отношение к клиентам на FirstSSL
у КОМОДа примерно час, у этих минут 30 заняло
беда!: КОМОД пришлет 4 файла, из которых 1 - это сам сертфикат, а три других надо саморучно подвергнуть конкатенации, дабы слепить из них *.ca-bundle файл
одна ошибка в последовательности и сертификат уже не пройдет проверку на ssllabs и прочих подобных ресурсах, будет или некорректно построеная цепочка, или отсутствие цепочки или еще чего не так, и снова - все на "НЕРУССКОМ ЯЗЫКЕ":
- Root CA Certificate - AddTrustExternalCARoot.crt
- Intermediate CA Certificate - COMODORSAAddTrustCA.crt
- Intermediate CA Certificate - COMODORSADomainValidationSecureServerCA.crt
- Your Free SSL Certificate - your_domain_ru.crt
вот тут как раз и зарыта большая собака, т.к. корневой сертификат надо класть в конец файла а оба иммедиата в начало но в строго определенном порядке №1-№2_корень
если тип сертификата предполагает не 1 и не 2 промежуточных - то заплутать очень даже большая вероятность!
от FirstSSL же пришло все готовенькое, оставалось только засунуть в нужное место, т.е. сам сертификат и собраный *.ca-bundle
2. теперь пытаемся пробраться в каталог /etc/nginx/ssl/ и засунуть туда оба эти произведения ИТ-исскуства, предварительно хорошенько запомнив их названия! для этой цели я использовал классический прием по типу Мойдомен_ру.*
после того, как они уже там - поиграться с правами на доступ
3. теперь надо зайти в каталог /etc/nginx/bx/conf/ и отредактировать файл ssl.conf
там уже будут три строчки:
SSL_certificete_file
SSL_certificste_key_file
dhparam_file
которые относятся ко встроенному сертификату Битрик Вэбокружение, которому никто не доверяет все равно
приводим их к такому виду :
#SSL_certificete_file
#SSL_certificste_key_file
dhparam_file
и выше пишем все с точностью, меняя только название и расширение для своих сертификатов (по умолчанию там будет *.pem, и придется заменить на *.crt & *.key)
не забываем перезапустить сам nginx после всех этих манипуляций
если же у вас просто апач, то принцип то действий похожий, вот только каталог будет /etc/pki/tls// и в нем две папочки
- cert для сертификатов
-private для ключей
также рекомендуется перезапустить апач
радости не было конца, думал, что все уже решил, однако не тут то было! часть ошибок с сокетами ушла, которая ниже этажом, а сама строка Работа с сокетами = по прежнему fail.....
бежим в файл /etc/hosts и видим такую печальную картину
127.0.0.1 local local.localdomain
::1 local local.domain local6 local.localdomain6
пустое место
#ANSIBLE MANAGED...... НЕ совать ничего после этой строчки
ваш_внутренний адрес_сервера имя сервера имя_сервера.домен
если все работает только внутри сети = это еще куда ни шло, но когда выпустили джинна наружу, то вместо пустоты выше последних строк
пишем
ваш_внутренний адрес_сервера DNS_адрес_узла
(192.168.1.23 my_domain.*)
причем записать надо разом оба варианта с www и без
можно даже употребить формочку
#bx-host
(192.168.1.23 my_domain.*)
если у вас на сервре будет крутиться несколько сайтов
и для некоторых сетей может потребоваться добавление и внешнего IP тоже, хотя не всегда
только после ВСЕХ этих манипуляций все прекрасно завелось и поехало, замок позеленел с досады, что больше не к чему придраться и придется открывать страницу
и только после того как - удалось поднять Push, ибо он тоже на это завязан