Страница 3 из 7

Re: Генератор сертификатов для каждого домена

Добавлено: 28 авг 2017, 19:34
Ink0gnit0
I-Cube,
У firefox своё хранилище сертификатов. Выполните импорт корневого сертификата trusted.crt по аналогии, как описано здесь: Установка корневого сертификата в браузере Mozilla Firefox

Re: Генератор сертификатов для каждого домена

Добавлено: 28 авг 2017, 20:38
I-Cube
Ink0gnit0,
Спасибо за ответ!
Но я сомневаюсь, что пользователи городского портала проделают тоже самое...
Придется видимо на Let's Encrypt делать.

Re: Генератор сертификатов для каждого домена

Добавлено: 28 авг 2017, 20:51
Ink0gnit0
Да, безусловно, на реальный, выставленный публично, сайт, нужно будет устанавливать нормальный сертификат. Всё это исключительно для локального пользования и разработки. Хотя, если у вас имеется доверенный сертификат и ключ, которыми можно подписывать другие сертификаты, то можно заменить trusted.crt и trusted.key на свои. В этом случае, все пользователи, подключившиеся к вашему городскому порталу, увидят довернное HTTPS-соединение.

Re: Генератор сертификатов для каждого домена

Добавлено: 28 авг 2017, 21:02
I-Cube
Я тут еще одну маленькую проблему обнаружил:
Если имеется несколько доменов, но при этом если создать сертификат только для одного, то сервер не запустится! Надо чтобы были сертификаты и на остальные домены/субдомены.

Получается либо всем создавай и будет работать переменная %host%, либо прописывай в конфиге жестко один сертификат на все домены...

Re: Генератор сертификатов для каждого домена

Добавлено: 28 авг 2017, 21:57
Ink0gnit0
I-Cube,
Да, есть такое. Учесть все, созданные вручную поддомены не представляется возможным. Для этого и есть в наличии скрипты для создания одиночных сертификатов: gen_single_cert.cmd, gen_single_cert_ecc_key.cmd, gen_single_cert_with_aliases.cmd, gen_wildcard_cert.cmd. Либо пропишете в текстовый файл _domains.txt все ваши домены/поддомены и выполните скрипт gen_certs_from_file.cmd.

Re: Генератор сертификатов для каждого домена

Добавлено: 01 май 2018, 17:51
inex
Автор, может на гитхабе репо сделаешь?

Re: Генератор сертификатов для каждого домена

Добавлено: 02 май 2018, 17:49
Ink0gnit0
inex писал(а): 01 май 2018, 17:51 Автор, может на гитхабе репо сделаешь?
https://github.com/Ink0gnit0/ospanel-ssl-generator

Re: Генератор сертификатов для каждого домена

Добавлено: 06 май 2018, 09:30
inex
Ink0gnit0 писал(а): 02 май 2018, 17:49
inex писал(а): 01 май 2018, 17:51 Автор, может на гитхабе репо сделаешь?
https://github.com/Ink0gnit0/ospanel-ssl-generator
Благодарю.

Re: Генератор сертификатов для каждого домена

Добавлено: 30 май 2018, 11:57
AnotherUniverse
Здравствуйте!
В первую очередь, спасибо за удобный инструмент для генерации сертификатов.

Но, собственно, к проблеме. Может и не совсем по теме, но проблема всё таки смежная.

Есть условный домен site.dev, который нужно разрабатывать и тестировать сразу с https.
Сгенерировал сертификат для него, подписал OSPanelОвским, последний добавил в доверенные. Всё прекрасно работает, я всем доволен.
Но возникла необходимость тестить сайт в том числе и с телефона по Wi-Fi.
Телефон без рута, т.е. доступа к hosts нету. Единственный способ достучаться до сайта - это создать алиас. Алиас создал: исходный домен - 192.168.0.101; конечный домен - site.dev.
Теперь, как и требовалось, могу достучаться к сайту через IP.
Но при попытке открытия сайта по https (https://192.168.0.101) получаю плашку - незащищённое соединение. Т.е. фактически https есть, но недоверенный сертификат. Собственно, если пытаюсь открыть сайт с ноута, на котором стоит OSP, но по IP, то результат аналогичный.
Если глянуть состав сертификата при таком способе коннекта, то получаем следующее:
Версия V1
Серийный номер ‎00 af 90 67 36 11 d8 dd 9b
Алгоритм подписи sha256RSA
Алгоритм хеширования подписи sha256
Издатель ospanel
Действителен с ‎23 ‎декабря ‎2016 ‎г. 13:54:34
Действителен по ‎20 ‎декабря ‎2031 ‎г. 13:54:34
Субъект localhost
...
Это ведь тот сертификат, которым я подписывал сертификат для site.dev и который у меня лежит в доверенных, верно? Но почему для соединения используется он, а не сертификат для site.dev?
Ну и главный вопрос!
Как мне получить возможность доступа к сайту через https://192.168.0.101, в том числе по Wi-Fi с телефона, так чтобы не получать ошибку сертификата.

Спасибо!

Re: Генератор сертификатов для каждого домена

Добавлено: 30 май 2018, 14:56
Ink0gnit0
AnotherUniverse,
Здравствуйте. С учётом того, что алиасы у вас уже настроены, в файле gen_single_cert.cmd, вслед за строкой:
rem echo IP.1 = %domain_ip% >> %dname%.cnf
добавьте следующее:
echo IP.1 = 192.168.0.101 >> %dname%.cnf
Сохраните файл и сгенерируйте сертификат с ключом.

В файле .\userdata\config\Nginx-1.14_server.conf укажите путь к сгенерированным сертификату и ключу:
ssl_certificate           "%sprogdir%/certs/xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx.crt";
ssl_certificate_key       "%sprogdir%/certs/xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx.key";
Сохраните файл и перезапустите OSPanel, если был запущен.
Проверьте результат https://192.168.0.101/.