Форум Сайтостроение Администрирование серверов

Nginx+Apache2+Lets Encrypt - как свести всё воедино?

M2
На сайте с 11.01.2011
Offline
342
mark2011
677

Несколько сайтов крутятся на рядовом LAMP. Озадачился внедрением nginx на статику. Проблема в том, что есть сайты с SSL сертификатом от Let's Encrypt. Если с обычными сайтами всё в порядке (к примеру, nginx - 80 порт, apache - 70 порт), то с SSL беда. По аналогии предположил, что nginx должен слушать на стандартном порту, а апачу передавать на какой-нибудь 444. Но сервак меня за такое отругал 400 ошибкой, в дополнение сообщив, что я с ним "разговариваю" по http plain протоколу, а нужен https (хотя в адресе стояло https).

Я знаю, как производится настройка nginx, меня интересует исключительно блок, где прописывается SSL. А самое главное - как проксировать всё это дело Апачу? на любой порт кроме 443 и стандартных? и прописать сей порт в ports.conf и в настройках VirtualHost? Или как-то по-другому?

Вот то, что касается SSL в конфиге: 


server {

	listen 443 ssl;



	# SSL configuration

	#

	# listen 443 ssl default_server;

	# listen [::]:443 ssl default_server;

	#

	# Self signed certs generated by the ssl-cert package

	# Don't use them in a production server!

	#

	# include snippets/snakeoil.conf;

	ssl on;

	ssl_certificate /etc/letsencrypt/live/libnotes.org/fullchain.pem;

	ssl_certificate_key /etc/letsencrypt/live/libnotes.org/privkey.pem;



	ssl_protocols TLSv1 TLSv1.1 TLSv1.2;

	ssl_prefer_server_ciphers on;

	ssl_dhparam /etc/ssl/certs/dhparam.pem;

	ssl_ciphers 'ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:DHE-DSS-AES128-GCM-SHA256:kEDH+AESGCM:ECDHE-RSA-AES128-SHA256:ECDHE-ECDSA-AES128-SHA256:ECDHE-RSA-AES128-SHA:ECDHE-ECDSA-AES128-SHA:ECDHE-RSA-AES256-SHA384:ECDHE-ECDSA-AES256-SHA384:ECDHE-RSA-AES256-SHA:ECDHE-ECDSA-AES256-SHA:DHE-RSA-AES128-SHA256:DHE-RSA-AES128-SHA:DHE-DSS-AES128-SHA256:DHE-RSA-AES256-SHA256:DHE-DSS-AES256-SHA:DHE-RSA-AES256-SHA:AES128-GCM-SHA256:AES256-GCM-SHA384:AES128-SHA256:AES256-SHA256:AES128-SHA:AES256-SHA:AES:CAMELLIA:DES-CBC3-SHA:!aNULL:!eNULL:!EXPORT:!DES:!RC4:!MD5:!PSK:!aECDH:!EDH-DSS-DES-CBC3-SHA:!EDH-RSA-DES-CBC3-SHA:!KRB5-DES-CBC3-SHA';

	ssl_session_timeout 1d;

	ssl_session_cache shared:SSL:50m;

	ssl_stapling on;

	ssl_stapling_verify on;

	add_header Strict-Transport-Security max-age=15768000;

В апаче я просто порт поменял: 


<VirtualHost *:444>

при таком конфиге мне nginx ругается на не найденную страницу php! При том, что пхп вообще-то должен обрабатывать апач.

Пути все правильные, это доказывает то, что произвольный статический файл лежащий в корне сайта был открыт.

------------------- Крутые VPS и дедики. Качество по разумной цене ( http://cp.inferno.name/view.php?product=1212&gid=1 ) VPS25OFF - скидка 25% на первый платеж по ссылке выше
M
На сайте с 17.09.2016
Offline
124
Mobiaaa
#1

а зачем шифровать трафик внутри сервера (между nginx и apache) ?

апач можно и нужно пускать на http

а nginx уже http + https

M2
На сайте с 11.01.2011
Offline
342
mark2011
#2

Mobiaaa, извините, в мозгах не склеивается... т.е. если пойдет обращение к сайту (статика), то будет https (т.к. за статику ответственен nginx), если динамика - то получается http apache?

M
На сайте с 17.09.2016
Offline
124
Mobiaaa
#3

nginx ВСЁ принимает

статику отдаёт сам, а динаминку просит сделать apache, и уже готовый ответ от apache, Nginx передаёт пользователю

apache наружу не виден

coolwebsearcher
На сайте с 29.09.2008
Offline
87
coolwebsearcher
#4

добавить в конфиг nginx для ssl и для не ssl 


      location / {

            proxy_pass        http://127.0.0.1:8181/;

            proxy_set_header Host $host;

            proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;

            proxy_set_header X-Real-IP $remote_addr;

      }

в конфиге апача сделать замену

<VirtualHost *:444> на <VirtualHost *>

и добавить

Listen 127.0.0.1:8181

это простейший конфиг, который будет прозрачно проксировать nginx -> apache, как для https (nginx) -> http (apache) так и для http (nginx) -> http (apache)

ну и в apache добавить mod_rpaf, который позволяет использовать клиентский ип в .htaccess / php / логах

Услуги (http://www.our-dns.info/) | Цены (http://www.our-dns.info/prices/) | Отзывы (/ru/forum/970789)

Авторизуйтесь или зарегистрируйтесь, чтобы оставить комментарий