<!DOCTYPE html PUBLIC "-//W3C//DTD HTML 4.01 Transitional//EN"><html><head><meta content="text/html;charset=UTF-8" http-equiv="Content-Type"></head><body ><div style="font-family: Verdana, Arial, Helvetica, sans-serif; font-size: 10pt;"><div>Фаервол... Как правильно заметили - проверить телнетом банальным.<br></div><div style="" data-zbluepencil-ignore="true" class="zmail_extra"><br><div id="Zm-_Id_-Sgn1">---- Увімкнуто вт, 20 жовт. 2020 10:06:29 +0300 <b>Zalman_ <nginx-forum@forum.nginx.org></b> написав ----<br></div><br><blockquote style="border-left: 1px solid rgb(204, 204, 204); padding-left: 6px; margin: 0px 0px 0px 5px;"><div>imsystem Wrote:<br>-------------------------------------------------------<br>> Клиент, в роли браузера, должен знать о вашем центре сертификации. Вы <br>> добавляли его сертификат в браузер?<br>> <br>> "Zalman_" <<a href="mailto:nginx-forum@forum.nginx.org" target="_blank">nginx-forum@forum.nginx.org</a>> 20 октября 2020 г. 08:07:44<br>> написал:<br>> <br>> > Доброго времени суток!<br>> ><br>> > Нужна помощь по вопросу SSL шифрования.<br>> ><br>> > Объясню, что есть и что уже имеется.<br>> ><br>> > Основная задача – поднять RocketChat на локальном сервере и<br>> обеспечить<br>> > шифрование при доступе к локальному серверу из вне.<br>> ><br>> > Для этих целей использовал Ubuntu 18.04 LTS на виртуалке на сервере.<br>> В<br>> > качестве веб-сервера использовал Nginx - 1.14.0 (Ubuntu), а в<br>> качестве СУБД<br>> > использую MongoDB - db version v4.0.20. Использование Nginx и<br>> MongoDB<br>> > описано в мануале по установке RocketChat.<br>> > Все это удалось сделать и все хорошо работает. То есть Nginx +<br>> MongoDB +<br>> > RocketChat хорошо работают как в локальной сети, так и из вне (с<br>> помощью<br>> > проброса портов). Однако не удается подключить SSL – сертификат. Так<br>> как<br>> > сервер поднимался локально (доступ из вне и локально осуществляется<br>> через<br>> > IP-адрес сервера и порт) и отсутствует какой-то домен, то получение<br>> > SSL-сертификата от Let’S Encrypt является проблематичным, поэтому<br>> выбрал<br>> > самоподписанный SSL-сертификат на основе OpenSSL.<br>> > Приватный ключ, сертификат, а также ключ Диффи-Хеллмана сделал.<br>> Конфиги<br>> > nginx.conf, а также конфиг в папке<br>> > /etc/nginx/sites-available/rocketchat.conf настроил, однако по<br>> каким-то<br>> > причинам доступ к чату есть через HTTP, но нет через HTTPS.<br>> ><br>> > С этой темой сижу уже достаточно долго. Пробовал много способов и<br>> много<br>> > различных конфигов, но все равно не работает.<br>> > Причем пробовал как с отключенным UFW, так и с включенным (разрешал<br>> > подключение по портам 80, 443, *нужный мне порт*). Также в iptables<br>> тоже<br>> > разрешил 3 предыдущих порта, но эффекта ноль.<br>> ><br>> > А вот тут я приведу конфиги.<br>> > /etc/nginx/nginx.conf<br>> > user www-data;<br>> > worker_processes auto;<br>> > pid /run/nginx.pid;<br>> > include /etc/nginx/modules-enabled/*.conf;<br>> ><br>> > events {<br>> > worker_connections 768;<br>> > # multi_accept on;<br>> > }<br>> ><br>> > http {<br>> > ##<br>> > # Basic Settings<br>> > ##<br>> > #sendfile on;<br>> > tcp_nopush on;<br>> > tcp_nodelay on;<br>> > keepalive_timeout 65;<br>> > types_hash_max_size 2048;<br>> > # server_tokens off;<br>> ><br>> > # server_names_hash_bucket_size 64;<br>> > # server_name_in_redirect off;<br>> ><br>> > include /etc/nginx/mime.types;<br>> > default_type application/octet-stream;<br>> ><br>> > ##<br>> > # SSL Settings<br>> > ##<br>> > ##<br>> > # Logging Settings<br>> > ##<br>> ><br>> > access_log /var/log/nginx/access.log;<br>> > error_log /var/log/nginx/error.log;<br>> ><br>> > ##<br>> > # Gzip Settings<br>> > ##<br>> ><br>> > gzip on;<br>> ><br>> > # gzip_vary on;<br>> > # gzip_proxied any;<br>> > # gzip_comp_level 6;<br>> > # gzip_buffers 16 8k;<br>> > # gzip_http_version 1.1;<br>> > # gzip_types text/plain text/css application/json<br>> > application/javascript text/xml application/xml applicatio$<br>> ><br>> > ##<br>> > # Virtual Host Configs<br>> > ##<br>> ><br>> > include /etc/nginx/conf.d/*.conf;<br>> > include /etc/nginx/sites-enabled/*.conf;<br>> > }<br>> ><br>> > #mail {<br>> > # # See sample authentication script at:<br>> > # # <a href="http://wiki.nginx.org/ImapAuthenticateWithApachePhpScript" target="_blank">http://wiki.nginx.org/ImapAuthenticateWithApachePhpScript</a><br>> > #<br>> > # # auth_http localhost/auth.php;<br>> > # # pop3_capabilities "TOP" "USER";<br>> > # # imap_capabilities "IMAP4rev1" "UIDPLUS";<br>> > #<br>> > # server {<br>> > # listen localhost:110;<br>> > # protocol pop3;<br>> > # proxy on;<br>> > # }<br>> > #<br>> > # server {<br>> > # listen localhost:143;<br>> > # protocol imap;<br>> > # proxy on;<br>> > # }<br>> > #}<br>> ><br>> > /etc/nginx/sites-available/default.conf<br>> ><br>> > upstream backend {<br>> > server 127.0.0.1;<br>> > }<br>> ><br>> > #HTTP<br>> > server {<br>> > #Делаю конфиг согласно<br>> > <a href="https://techlist.top/translation-nginx-to-https/" target="_blank">https://techlist.top/translation-nginx-to-https/</a><br>> > listen 80;<br>> > server_name *IP локального сервера*;<br>> > return 301 <a href="https://$server_name$request_uri" target="_blank">https://$server_name$request_uri</a>;<br>> > }<br>> ><br>> > #HTTPS<br>> > server {<br>> > #Порт, который будет слушать Nginx для SSL<br>> > listen 443 ssl http2;<br>> ><br>> > #Имя сайта<br>> > server_name *IP локального сервера*;<br>> ><br>> > #Корневая директория и индексный файл (ничего не менял)<br>> > root /var/www/html;<br>> > index index.html index.htm index.nginx-debian.html;<br>> ><br>> > #Лог-файлы<br>> > access_log /var/www/html/access_https.log;<br>> > error_log /var/www/html/error_https.log;<br>> ><br>> > #SSL-секция<br>> ><br>> > #Сертификат и ключ<br>> > ssl_certificate /etc/ssl/certs/rccrt.crt;<br>> > ssl_certificate_key /etc/ssl/private/rckey.key;<br>> ><br>> > #SSL-сессия<br>> > ssl_session_timeout 1d;<br>> > ssl_session_cache shared:SSL:50m;<br>> > ssl_session_tickets off;<br>> ><br>> > #Diffie-Hellman ключ для DHE-шифров<br>> > ssl_dhparam /etc/ssl/certs/dhparam.pem;<br>> ><br>> > #Используемые протоколы<br>> > ssl_protocols SSLv3 TLSv1 TLSv1.1 TLSv1.2 TLSv1.3;<br>> ><br>> > #Наборы шифров<br>> > ssl_ciphers '*набор шифров*';<br>> ><br>> > #Приоритет серверных шифров<br>> > ssl_prefer_server_ciphers on;<br>> ><br>> > #Включение HSTS (Strict-Transport-Security)(15768000 seconds<br>> = 6<br>> > месяцев)<br>> > add_header Strict-Transport-Security max-age=15768000;<br>> ><br>> > resolver 8.8.8.8 8.8.4.4 valid=300s;<br>> ><br>> > # server_name _;<br>> ><br>> > location / {<br>> > # Параметры проксирования<br>> > proxy_send_timeout 600;<br>> > proxy_read_timeout 600;<br>> > proxy_buffer_size 128k;<br>> > proxy_buffers 4 256k;<br>> > proxy_busy_buffers_size 256k;<br>> > proxy_set_header Host $host;<br>> > proxy_set_header X-Real-IP $remote_addr;<br>> > proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;<br>> > proxy_set_header X-Forwarded-Proto $scheme;<br>> > proxy_set_header HTTPS YES;<br>> > # IP-адрес целевой площадки для проксирования<br>> > proxy_pass <a href="http://192.168.1.108" target="_blank">http://192.168.1.108</a>;<br>> > }<br>> ><br>> > # pass the PHP scripts to FastCGI server listening on<br>> > 127.0.0.1:9000<br>> > #<br>> > #location ~ \.php$ {<br>> > # include snippets/fastcgi-php.conf;<br>> > #<br>> > # # With php7.0-cgi alone:<br>> > # fastcgi_pass 127.0.0.1:9000;<br>> > # # With php7.0-fpm:<br>> > # fastcgi_pass unix:/run/php/php7.0-fpm.sock;<br>> > #}<br>> ><br>> > # deny access to .htaccess files, if Apache's document root<br>> > # concurs with nginx's one<br>> > #<br>> > #location ~ /\.ht {<br>> > # deny all;<br>> > #}<br>> > }<br>> ><br>> > Далее делаю «копию» в папку sites-enabled<br>> > sudo ln -s /etc/nginx/sites-available/default.conf<br>> > /etc/nginx/sites-enabled/<br>> ><br>> > Проверяю синтаксис<br>> > sudo nginx -t<br>> > (на что получаю положительный ответ)<br>> > nginx: the configuration file /etc/nginx/nginx.conf syntax is ok<br>> > nginx: configuration file /etc/nginx/nginx.conf test is successful<br>> ><br>> > И последовательно делаю перезапуск Nginx<br>> > sudo service nginx restart<br>> > sudo systemctl restart nginx<br>> ><br>> > В итоге, набирая IP и порт и пытаясь подключиться по HTTPS, в Google<br>> Chrome<br>> > вижу ошибку ERR_CONNECTION_CLOSED. В чем может быть проблема?<br>> ><br>> > Posted at Nginx Forum: <br>> > <a href="https://forum.nginx.org/read.php?21,289759,289759#msg-289759" target="_blank">https://forum.nginx.org/read.php?21,289759,289759#msg-289759</a><br>> ><br>> > _______________________________________________<br>> > nginx-ru mailing list<br>> > <a href="mailto:nginx-ru@nginx.org" target="_blank">nginx-ru@nginx.org</a><br>> > <a href="http://mailman.nginx.org/mailman/listinfo/nginx-ru" target="_blank">http://mailman.nginx.org/mailman/listinfo/nginx-ru</a><br>> <br>> _______________________________________________<br>> nginx-ru mailing list<br>> <a href="mailto:nginx-ru@nginx.org" target="_blank">nginx-ru@nginx.org</a><br>> <a href="http://mailman.nginx.org/mailman/listinfo/nginx-ru" target="_blank">http://mailman.nginx.org/mailman/listinfo/nginx-ru</a><br><br>Нет, не добавлял<br>Не делал этого по причине того, что из всех прочтенных мною статей этим<br>никто не занимался<br>Тем более мне кажется, что не в браузере дело (IE, Chrome, Yandex)<br>До проверки сертификата дело даже не доходит, то есть нет всплывающего окна<br>о том, что сертификат не проверен (если сертификат работает, то такое окошко<br>появляется и либо ты переходишь дальне на сайт, либо нет). В моем же случае<br>при переходе по https соединение с сервером обрывается, но при переходе по<br>http все работает корректно<br><br>Posted at Nginx Forum: <a href="https://forum.nginx.org/read.php?21,289759,289761#msg-289761" target="_blank">https://forum.nginx.org/read.php?21,289759,289761#msg-289761</a><br><br>_______________________________________________<br>nginx-ru mailing list<br><a href="mailto:nginx-ru@nginx.org" target="_blank">nginx-ru@nginx.org</a><br><a href="http://mailman.nginx.org/mailman/listinfo/nginx-ru" target="_blank">http://mailman.nginx.org/mailman/listinfo/nginx-ru</a></div></blockquote></div><div><br></div></div><br></body></html>