...
Скачать сертификат в формате *.pfx
Code Block language bash curl "https://linkTo/example.ru.pfx" --output 'example.ru.pfx'
Для получения из *.pfx сертификата сервера в формате pem выполнить:
Code Block language bash openssl pkcs12 -in example.ru.pfx -clcerts -nokeys -out example.ru.pem
В процессе будет запрошен пароль.
для получения из *.pfx приватного ключа в формате pem выполнить:
Code Block language bash openssl pkcs12 -in example.ru.pfx -nocerts -out example.ru.enc.key
В процессе будет запрошен пароль. Далее будет запрошен новый пароль для нового файла ключа (в этом случае в качестве пароля вводится НЕ пустое значение, любой пароль).
Для получения незащищенного паролем приватного ключа (из защищенного паролем файла ключа полученного на предыдущем шаге) выполнить:
Code Block language bash openssl rsa -in example.ru.enc.key -out example.ru.key
Скопировать полученные файлы сертификата и незащищенного паролем приватного ключа в /etc/ssl/private (либо иное удобное расположение)
Code Block language bash sudo cp example.ru.* /etc/ssl/private
Настройка обратного проксирования
| Anchor | ||||
|---|---|---|---|---|
|
Настроить обратное проксирование при помощи nginx, отредактировав конфигурационный файл:
Code Block language bash sudo nano /etc/nginx/sites-available/default
Должно получиться:
Code Block language bash # Default server configuration # server { listen 80 default_server; listen [::]:80 default_server; # Only allow access if the host is correct if ( $host != "vitro.example.ru" ){ return 444; #CONNECTION CLOSED WITHOUT RESPONSE } #permanent redirekt from http to https return 301 https://$host$request_uri; } server { # SSL configuration # listen 443 ssl default_server; listen [::]:443 ssl default_server; server_name vitro.example.ru; ssl_certificate /etc/ssl/private/example.ru.pem; ssl_certificate_key /etc/ssl/private/example.ru.key; # Only allow access if the host is correct if ( $host != "vitro.example.ru" ){ return 444; #CONNECTION CLOSED WITHOUT RESPONSE } proxy_buffer_size 1M; proxy_buffers 4 1M; proxy_read_timeout 1h; proxy_send_timeout 1h; location / { #proxying traffic to upstream application (Vitro.Server.Core.Web) proxy_pass http://127.0.0.1:4615; } location /workflow/manager { proxy_pass http://localhost:4616/workflow/manager; } }Необходимые настройки:
Для обеспечения загрузки больших файлов добавить в конфигурационный файл сайта Nginx в явном виде значение параметра client_max_body_size
Code Block language bash client_max_body_size 100000M;
Для исключения переполнения корневого раздела диска, необходимо включить в Nginx кеширование для обратного проксирования.
Ключи для помещения в секцию server (или location):Code Block language bash proxy_buffering on;
Также для исключения переполнения корневого раздела диска, необходимо включить в Nginx кеширование для обратного проксирования в файле /etc/nginx/nginx.conf
Code Block language bash sudo nano /etc/nginx/nginx.conf
Ключ для размещения в конфигурационном файле:
Code Block language bash proxy_cache_path /var/cache/nginx levels=1:2 keys_zone=STATIC:10m inactive=24h max_size=1g;
Итоговые конфигурационные файлы:
Code Block language bash title /etc/nginx/nginx.conf user www-data; worker_processes auto; pid /run/nginx.pid; include /etc/nginx/modules-enabled/*.conf; events { worker_connections 768; # multi_accept on; } http { ## # Basic Settings ## sendfile on; tcp_nopush on; types_hash_max_size 2048; # server_tokens off; # server_names_hash_bucket_size 64; # server_name_in_redirect off; include /etc/nginx/mime.types; default_type application/octet-stream; ## # SSL Settings ## ssl_protocols TLSv1 TLSv1.1 TLSv1.2 TLSv1.3; # Dropping SSLv3, ref: POODLE ssl_prefer_server_ciphers on; ## # Logging Settings ## access_log /var/log/nginx/access.log; error_log /var/log/nginx/error.log; ## # Gzip Settings ## gzip on; proxy_cache_path /var/cache/nginx levels=1:2 keys_zone=STATIC:10m inactive=24h max_size=1g; # gzip_vary on; # gzip_proxied any; # gzip_comp_level 6; # gzip_buffers 16 8k; # gzip_http_version 1.1; # gzip_types text/plain text/css application/json application/javascript text/xml application/xml application/xml+rss text/javascript; ## # Virtual Host Configs ## include /etc/nginx/conf.d/*.conf; include /etc/nginx/sites-enabled/*; }Code Block language bash title /etc/nginx/sites-available/default # Default server configuration # server { listen 80 default_server; listen [::]:80 default_server; # Only allow access if the host is correct if ( $host != "vitro.example.ru" ){ return 444; #CONNECTION CLOSED WITHOUT RESPONSE } #permanent redirekt from http to https return 301 https://$host$request_uri; } server { # SSL configuration # listen 443 ssl default_server; listen [::]:443 ssl default_server; server_name vitro.example.ru; client_max_body_size 100000M; ssl_certificate /etc/ssl/private/example.ru.pem; ssl_certificate_key /etc/ssl/private/example.ru.key; # Only allow access if the host is correct if ( $host != "vitro.example.ru" ){ return 444; #CONNECTION CLOSED WITHOUT RESPONSE } proxy_buffer_size 1M; proxy_buffers 4 1M; proxy_read_timeout 1h; proxy_send_timeout 1h; location / { #proxying traffic to upstream application (Vitro.Server.Core.Web) proxy_pass http://127.0.0.1:4615; proxy_buffering on; proxy_set_header X-Real-IP $remote_addr; proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for; proxy_set_header X-Forwarded-Proto $scheme; proxy_set_header Host $host; } location /workflow/manager { proxy_pass http://localhost:4616/workflow/manager; } }Выполнить перезагрузку службы nginx:
Code Block language bash sudo systemctl reload nginx
...