давайте зашифруем или SSL на переписанном домене

Question

Я использую Centos 7 с Plesk (выделенный сервер 1and1) и Apache, и мы хотим защитить наш веб-сайт с помощью шифрования, где это возможно, хотя у нас есть проблема с доменом 2, который был переписан по правилам Apache.

вот код, который мы используем для перезаписи домена:

ServerAlias www.traffweb.portsmouth.gov.uk traffweb.portsmouth.gov.uk
RewriteEngine on
RewriteCond %{HTTP_HOST} ^(w{3}\.)?portsmouthtraffweb\.uk [NC]
RewriteRule (.*) http://www.traffweb.portsmouth.gov.uk/$1 [R=301,L]
RewriteCond %{HTTP_HOST} !^www\.
RewriteRule ^(.*)$ http://www.%{HTTP_HOST}/$1 [R=301,L]

, а затем

/usr/local/psa/admin/sbin/httpdmng --reconfigure-domain portsmouthtraffweb.uk

не совсем уверен, нужна ли последняя команда, я думаю, что в последний разЯ просто вставляю правила apache и все.

На нашем сервере у нас есть (и у нас есть) portsmouthtraffweb.uk, в то время как traffweb.portsmouth.gov.uk он принадлежит клиенту, этот поддомен нигде не существует, он был перенаправленв DNS с записью A для указания IP-адреса нашего сервера.

В основном на сервере существуют portsmouthtraffweb.uk, и если вводить запросы трафика для traffweb.portsmouth.gov.uk, он перенаправляет на использование каталога portsmouthtraffweb.uk

Я пытался использовать Let's encrypt в Plesk, но когда я применил сертификат, переписанное правило игнорируется, и отображается URL-адрес на сервере, а не тот, который мы хотим отобразить.

Как я могу защитить эти домены?Часть от меня, что я использую оба домена для просмотра веб-сайта, все остальные будут использовать только правильный URL traffweb.portsmouth.gov.uk, так как он будет опубликован с этим DOMAIN NAME.

Я не против сделать какой-то кодна сервере, так как мы владеем серверами, чтобы я мог подключиться как root, и, как вы можете видеть, эта команда была выполнена на сервере, а не через Plesk, иногда я просто предпочитаю делать что-то в Plesk, потому что это требует меньше времени.

Answer 1

Привет, @Sebastiano: wave:

Вы не можете получить сертификат для домена, который вы не контролируете законным путем.Я думаю, что это может быть проблемой.

Вы уверены, что они используют запись A (указывает на IP-адрес), а не запись AAAA или, скорее всего, запись CNAME или другой механизм перенаправления?

Было бы .gov.uk заданием администратора получить сертификат для своей стороны, если они контролируют домен.Вы можете использовать такие сервисы, как https://www.whatsmydns.net/ (в Google «проверить распространение DNS», если эта ссылка не работает), чтобы убедиться, что она действительно указывает на ваш домен или IP-адреса сервера.

Если это CNAME,затем, с вашей стороны, это должно быть porsmouthtraffweb.uk, поэтому вам нужно убедиться, что сначала оно разрешается непосредственно на сервер, для которого вы хотите использовать SSL.Тогда вам также понадобится отдельный vhost с тем же webroot.https://certbot.eff.org/all-instructions предоставляет исчерпывающий список.Я использую опцию webroot для небольших сайтов, но я был уверен, что вы даже можете использовать DNS для защиты SSL-сертификатов (при условии, что вы контролируете DNS).

Вот один из них для моего местного linux-клуба, который былработающий Apache 2.2 (после обновления до Nginx) https://gist.github.com/Lewiscowles1986/dda7382e21a7ec66089730f7945842f0

Сертификаты должны храниться вне webroot.Летенкрипты живут под /etc/letsencrypt.Вы также можете сгенерировать dhparams.pem

openssl dhparam -out /etc/nginx/ssl/dhparam.pem 4096

Как только этот сервер разрешит и знает, что portsmouthtraffweb.uk разрешает ваши серверы, вы можете запросить сертификат LetsEncrypt только для этого домена.Аналогично, если файл .gov.uk разрешается на ваши серверы, вы можете запросить сертификат только для этого домена.

Я использую утилиту certbot, но вы можете обнаружить, что коммерческие провайдеры лучше подходят для защиты правительственного веб-сайта.

Это Льюис, кстати