Уважаемые гости и пользователи форума!
Чтобы видеть ссылки на форуме - надо зарегистрироваться и иметь 1 пост на форуме. Для этого есть КУРИЛКА и там тема Здрасти.

[How To] Бесплатные SSL сертификаты

Настройка, обслуживание, эксплуатация, управление панелью ISPConfig 3. А так же обсуждение установки и оптимизация сайта под ISPConfig 3

Модератор: kulia

Правила форума
Условием использования нашего форума, является соблюдение настоящих Правил форума.


Ваш вопрос может быть удален без объяснения причин, если на него есть ответы по приведённым ссылкам, а вы рискуете получить предупреждение.
rewuxiin
Супер модератор
Супер модератор
Сообщения: 222
Зарегистрирован: 30 окт 2012, 15:14

24 янв 2017, 18:36

kulia писал(а):сертификат от первого не будет валиден для второго
да по сути то все верно, ведь владельцем второго уровня может быть другой человек, а 3w это вообще ошибка природы
rewuxiin
Супер модератор
Супер модератор
Сообщения: 222
Зарегистрирован: 30 окт 2012, 15:14

24 янв 2017, 18:42

призываю всех кто генерил сертификаты на свои сайты способом описанным в стартопе.

эти сертификаты выдают ошибку на устройствах c ios в сафари и гуглохроме

Код: Выделить всё

SEC_ERROR_REVOKED_CERTIFICATE
если данных устройств у вас нет и на виртуалке с макосью проблема тоже не возникает - можно установить мозиллу для девелоперов, она тоже вываливает эту ошибку.

повесил такой сертификат на один проект и все начали дико жаловаться, оказалось куча народу туда ходила с айфонов.

подозреваю что нет доверия к издателю, т.к. сертификат на том же хостинге, с идентичными результатами на выходе после проверки
Для просмотра ссылок Вы должны быть авторизованы на форуме. - startssl не проходит


Отправил запрос в техподдержку, вот ответ
It is because the latest news:

All certificates issued before 21.10.2016 will be not affected. Certificates issued after 21.10.2016 will be affected only after the end of January in official browser releases, and apple distrusted our certificates issued after 30.11.2016.

Official document about distrust > Для просмотра ссылок Вы должны быть авторизованы на форуме. ... ign-and-startcom-certificates/

We are working hard on remediation plan (Для просмотра ссылок Вы должны быть авторизованы на форуме.), and we are doing everything to regain trust ASAP. One of the steps already fully done - Для просмотра ссылок Вы должны быть авторизованы на форуме.

We have some delays with an interim solution but will have more information only later in February.
startkomp
Сообщения: 4
Зарегистрирован: 26 окт 2016, 00:12

03 фев 2017, 11:43

В общем решил тоже поставить ssl сертификат на сайт, купил сертификат Comodo PositiveSSL, вставляю все поля как по инструкции выше, так же пробовал подменять сертификаты в папке ssl домена, в файле domen.vhost тоже всё как описано выше. И галочка стоит в настройках сайта ssl. Но ни как не хочет стартовать https, может кто то подскажет что да как, сижу 2-й день с этим сертификатом. В самом Ispconfig, заменил сертификат на свои, https работает, в webmin тоже работает, а на сайт не хочет ставиться!


Решение)))
Не был проброшен порт 443 до сервера, через роутер))) Пробросил и всё заработало, может ещё кому поможет.
Последний раз редактировалось startkomp 03 фев 2017, 12:12, всего редактировалось 1 раз.
Аватара пользователя
SinglWolf
Контактная информация:
Откуда: Башкирия
Сообщения: 2618
Зарегистрирован: 23 янв 2012, 22:11

03 фев 2017, 12:03

startkomp, тему внимательно проштудировали?
startkomp писал(а):Но ни как не хочет стартовать https
И что сие значит? Симптомы, логи где? Экстрасенсов нет.
startkomp
Сообщения: 4
Зарегистрирован: 26 окт 2016, 00:12

03 фев 2017, 12:16

► Показать
Прошёл не один сайт, прочитал кучу инфы, но догадаться что надо пробросить порт ума не хватило)) А кстати, где искать логи по ssl? обычный syslog?
Аватара пользователя
SinglWolf
Контактная информация:
Откуда: Башкирия
Сообщения: 2618
Зарегистрирован: 23 янв 2012, 22:11

03 фев 2017, 12:19

startkomp писал(а):но догадаться что надо пробросить порт ума не хватило
Проблема решена или нет?
startkomp
Сообщения: 4
Зарегистрирован: 26 окт 2016, 00:12

03 фев 2017, 12:26

Да!
bolivar
Сообщения: 9
Зарегистрирован: 19 май 2014, 20:59

16 фев 2017, 08:51

Google, Mozilla, Apple отозвали корневые сертификаты StartSSL (StartCom) и WoSign из своих браузеров. Все сертификаты, выпущенные после 21 октября 2016, не будут приниматься; но и сертификаты, выпущенные ранее, будут приниматься не все и в скором времени не будут приниматься вообще.

из бесплатного есть Let's Encrypt

Код: Выделить всё

cd /home/user
/usr/bin/git clone https://github.com/letsencrypt/letsencrypt
cd letsencrypt
./letsencrypt-auto --help

Код: Выделить всё

./letsencrypt-auto --apache -d ваш домен
Apache config /etc/apache2/sites-available/ispconfig.vhost

Код: Выделить всё

SSLEngine on
SSLCertificateFile    /etc/letsencrypt/live/ваш домен/cert.pem
SSLCertificateKeyFile /etc/letsencrypt/live/ваш домен/privkey.pem
SSLCertificateChainFile /etc/letsencrypt/live/ваш домен/fullchain.pem
Проверка работы

Код: Выделить всё

https://www.ssllabs.com/ssltest/analyze.html?d=ваш домен&latest
Cron

Код: Выделить всё

sudo crontab -e

30 2 * * 1 /usr/bin/letsencrypt renew >> /var/log/le-renew.log
rewuxiin
Супер модератор
Супер модератор
Сообщения: 222
Зарегистрирован: 30 окт 2012, 15:14

16 фев 2017, 17:05

bolivar писал(а):из бесплатного есть Let's Encrypt
интересно, как скоро его тоже скомпроментируют?
Аватара пользователя
MiraMaX166
Контактная информация:
Откуда: ОМСК
Сообщения: 54
Зарегистрирован: 02 янв 2013, 23:30

29 авг 2017, 10:18

В 3.1 механизм с получением ключей от letsencrypt работает отлично. Есть один вопрос, как создать ключ для корневого домена (точнее для домена на котором крутится сама панель). На команду letsencrypt в консоле отвечает, что нет такого и не знает... Если кто сталкивался - отпишитесь.
Аватара пользователя
SinglWolf
Контактная информация:
Откуда: Башкирия
Сообщения: 2618
Зарегистрирован: 23 янв 2012, 22:11

29 авг 2017, 11:31

MiraMaX166 писал(а):Есть один вопрос, как создать ключ для корневого домена (точнее для домена на котором крутится сама панель).
Создайте в панели сайт для домена, подключите SSL, создайте через панель letsencrypt-сертификат. Посмотрите в конфигах (apache/nginx) сайта пути к файлам сертификата. Замените в конфиге ISPConfig текущие пути к файлам сертификата панели на пути, которые смотрели в конфигах сайта. Перезапустите apache/nginx. Всё, радуйтесь. Как-то так. :-D
З.Ы. Эту процедуру (по замене путей к сертификатам) нужно повторять после каждого upgrade панели. Чтобы сертификат обновлялся автоматически, созданный сайт удалять не нужно.
Аватара пользователя
MiraMaX166
Контактная информация:
Откуда: ОМСК
Сообщения: 54
Зарегистрирован: 02 янв 2013, 23:30

29 авг 2017, 13:27

Это я тоже рассматривал. Оставлял на самый крайний случай. Но раз иначе никак, то ладно... *SCRATCH*


Если кому интересно, то исполняемые скрипты letsencrypt и certbot лежат в /root/.local/share/letsencrypt/bin
Аватара пользователя
kulia
Откуда: Москва
Сообщения: 147
Зарегистрирован: 28 май 2014, 14:59

30 авг 2017, 17:37

У меня такой вопрос, переустановил панель скриптом 5 релиза. Все сертификаты прикрутились letsencryptом (сайт Для просмотра ссылок Вы должны быть авторизованы на форуме., webmin Для просмотра ссылок Вы должны быть авторизованы на форуме., панель Для просмотра ссылок Вы должны быть авторизованы на форуме., все работает, все зеленое)
Делал вот это:

Код: Выделить всё

mv /usr/local/ispconfig/interface/ssl/ispserver.crt /usr/local/ispconfig/interface/ssl/ispserver.crt.old
mv /usr/local/ispconfig/interface/ssl/ispserver.key /usr/local/ispconfig/interface/ssl/ispserver.key.old
ln -s /etc/letsencrypt/live/your_domain/cert.pem /usr/local/ispconfig/interface/ssl/ispserver.crt
ln -s /etc/letsencrypt/live/your_domain/privkey.pem /usr/local/ispconfig/interface/ssl/ispserver.key
service apache2 restart
В панели прописываю второй сайт Для просмотра ссылок Вы должны быть авторизованы на форуме., генерирую сертификат, получаю недействительный сертификат, т.к. он выдан для сайта Для просмотра ссылок Вы должны быть авторизованы на форуме., но прописан для Для просмотра ссылок Вы должны быть авторизованы на форуме.. Т.е. получается, что для второго сайта прикручивается новый сертификат, но от первого. Куда копать?
Создал на Линукс-форуме тему "Установка Internet Explorer под Убунту".
Тему удалили через 4 минуты, выдали бан на 10 дней...
Аватара пользователя
SinglWolf
Контактная информация:
Откуда: Башкирия
Сообщения: 2618
Зарегистрирован: 23 янв 2012, 22:11

30 авг 2017, 21:30

kulia писал(а):Куда копать?
К разрабам панели в багтреккер писать.
Аватара пользователя
kulia
Откуда: Москва
Сообщения: 147
Зарегистрирован: 28 май 2014, 14:59

30 авг 2017, 22:37

SinglWolf писал(а):К разрабам панели в багтреккер писать.
Проблема уже известная? Или у кого-то все заработало?
Кстати, заметил еще такую особенность, ставлю галки на SSL и Letsencrypt -> сохранить, после отработки скриптов - галка с Letsencrypt слетает.


Нашел решение моего вопроса! *YAHOO*

Система->Конфигурация сервера->web->настройки ssl->ставим галку Skip Lets Encrypt Check->Сохранить. Удаляем все старые сертификаты:

Код: Выделить всё

sudo -i
cd /var/www/clients/client*/web*/ssl
ls
rm -rf названия файлов в этой папке
* - заменяем на Ваши значения!!!
Идем в панель своего сайта, ставим галки: SSL и Let's Encrypt ->Сохранить.
На вкладке SSL удаляем все из всех полей ниже поля Домен SSL.
SSL-Действие->Создать сертификат->Сохранить.
Ждем пока отработают скрипты, идем на сайт и радуемся зеленым буковкам!!!

Т.е. отключаем проверку.
"...если ваш сервер находится за маршрутизатором, так что домены, размещенные на вашем сервере, недоступны с самого сервера, тогда вам нужно включить System> Server config> Web> Настройки SSL> Skip Lets Encrypt Check, поскольку ISPConfig не может проверить в этом случае, если домен действительно указывает на этот сервер." Для просмотра ссылок Вы должны быть авторизованы на форуме..
Теперь все заработало!!! *DRINK*
Создал на Линукс-форуме тему "Установка Internet Explorer под Убунту".
Тему удалили через 4 минуты, выдали бан на 10 дней...
Аватара пользователя
SinglWolf
Контактная информация:
Откуда: Башкирия
Сообщения: 2618
Зарегистрирован: 23 янв 2012, 22:11

31 авг 2017, 06:13

kulia писал(а):Проблема уже известная?
Я имею в виду то, что фигня какая-то получается. Панель умеет выдавать создаваемым сайтам сертификаты SSL, а сама... Как в известной пословице: сапожник без сапог. :-D
Вот я и предлагаю писать разрабам, чтобы они устранили это недоразумение.
andreiva
Сообщения: 2
Зарегистрирован: 21 мар 2022, 20:03

Re: [How To] Бесплатные SSL сертификаты

28 мар 2022, 17:44

Что то новое ест?
Аватара пользователя
SinglWolf
Контактная информация:
Откуда: Башкирия
Сообщения: 2618
Зарегистрирован: 23 янв 2012, 22:11

Re: [How To] Бесплатные SSL сертификаты

28 мар 2022, 18:26

andreiva писал(а):
28 мар 2022, 17:44
Что то новое ест?
На дату последнего сообщения посмотрите.
Я не занимаюсь более ISPCofig *PARDON* .
Zealman
Сообщения: 1
Зарегистрирован: 30 мар 2023, 17:01

Re: [How To] Бесплатные SSL сертификаты

30 мар 2023, 17:05

спасибо, полезно

Вернуться в «ISPConfig 3»