nginx и startssl.com

Проблемы с установкой, настройкой и работой системных и сетевых программ.

Модераторы: GRooVE, alexco

Правила форума
Убедительная просьба юзать теги [code] при оформлении листингов.
Сообщения не оформленные должным образом имеют все шансы быть незамеченными.
Аватара пользователя
bagas
лейтенант
Сообщения: 922
Зарегистрирован: 2010-08-18 19:49:01
Откуда: Воронеж
Контактная информация:

nginx и startssl.com

Непрочитанное сообщение bagas » 2017-04-09 16:49:07

Всем привет.
Кто нибудь пробовал использовать на nginx бесплатный сертификат (StartSSL™ Бесплатно) от http://www.startssl.com ?
Я задолбался уже все варианты перебрал. не с одним не работает.
получил два файла от них.

Код: Выделить всё

1_Intermediate.crt
2_bagas@fryaha.ru.crt
ключ приватный у меня.
делай так bagas@fryaha.ru.crt Intermediate.crt > /usr/local/etc/nginx/ssl/www.fryaha.ru.crt
Пробовал в конец добавлять и корневой сертификат, не с одним вариантом не работает.

Код: Выделить всё

ssl on;
ssl_certificate /usr/local/etc/nginx/ssl/www.fryaha.ru.crt;
ssl_certificate_key  /usr/local/etc/nginx/ssl/www.fryaha.ru.key;

Код: Выделить всё

# nginx -t
nginx: the configuration file /usr/local/etc/nginx/nginx.conf syntax is ok
nginx: configuration file /usr/local/etc/nginx/nginx.conf test is successful
Вот думаю херня это все, проще купить за 700р сертификат и запустить его, чем куча нервов потратить.
Что бы ты не делал , жизнь слишком коротка!
Блог о BSD системах.

Хостинговая компания Host-Food.ru
Хостинг HostFood.ru
 

Услуги хостинговой компании Host-Food.ru

Хостинг HostFood.ru

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

Аватара пользователя
xM
ст. лейтенант
Сообщения: 1316
Зарегистрирован: 2009-01-15 23:57:41
Откуда: Königsberg
Контактная информация:

nginx и startssl.com

Непрочитанное сообщение xM » 2017-04-10 13:46:00

А что именно у вас не работает и как это проявляется?
Также см. мануал от StartSSL https://www.startssl.com/Support?v=42
IT voodoo blog https://kostikov.co

Аватара пользователя
kharkov_max
капитан
Сообщения: 1862
Зарегистрирован: 2008-10-03 14:56:40

nginx и startssl.com

Непрочитанное сообщение kharkov_max » 2017-04-13 8:34:08

Нужен ли бесплатный сертификат на 90 дней? Потом опять гимороится и переполучать... На сколько я нагуглил не давно совсем бесплатных сертификатов уже ни кто не выдает. Было как то пару китайских сайтов что выдавали, но там нашли косяк и бесплатные сертификаты прикрыли, я в свое время еще успел получить сертификат на 3 года, вроде даже до сих пор работает... Может я конечно плохо искал, но если кто подскажет кто выдоет бесплатный сертификат хотя бы на год, а лучше на 3 года, буду премного благодарен...

Аватара пользователя
xM
ст. лейтенант
Сообщения: 1316
Зарегистрирован: 2009-01-15 23:57:41
Откуда: Königsberg
Контактная информация:

nginx и startssl.com

Непрочитанное сообщение xM » 2017-04-13 12:53:02

kharkov_max писал(а): Нужен ли бесплатный сертификат на 90 дней?
В случае, если процесс его обновления и подключения автоматизирован (а с Let's Encrypt это делается совершенно свободно), то я не вижу не только проблемы, а даже и наоборот - преимущество в виде повышения уровня безопасности.

Отправлено спустя 11 минут 20 секунд:
Касаемо StartSSL (напомню, это "дочка" китайского WoSign) то это, вообще, хреновый выбор. Их корневые сертификаты ввиду вскрытых нарушений были удалены из списка доверенных всеми популярными браузерами. См., например, https://geektimes.ru/post/281188/
IT voodoo blog https://kostikov.co

Аватара пользователя
bagas
лейтенант
Сообщения: 922
Зарегистрирован: 2010-08-18 19:49:01
Откуда: Воронеж
Контактная информация:

nginx и startssl.com

Непрочитанное сообщение bagas » 2017-04-13 15:04:08

Биру от комодо. 1000 рублей на два года.
Что бы ты не делал , жизнь слишком коротка!
Блог о BSD системах.

Аватара пользователя
xM
ст. лейтенант
Сообщения: 1316
Зарегистрирован: 2009-01-15 23:57:41
Откуда: Königsberg
Контактная информация:

nginx и startssl.com

Непрочитанное сообщение xM » 2017-04-13 15:15:10

bagas писал(а): Биру от комодо. 1000 рублей на два года.
А я беру у Let's Encrypt. Навсегда. Бесплатно. Плюс как бонус автоматическое продление и установка. Для всех доменов. :-D
IT voodoo blog https://kostikov.co

Аватара пользователя
Alex Keda
стреляли...
Сообщения: 35454
Зарегистрирован: 2004-10-18 14:25:19
Откуда: Made in USSR
Контактная информация:

nginx и startssl.com

Непрочитанное сообщение Alex Keda » 2017-05-05 7:01:20

Да, со стартссл подстава.
Самому пришлось срочно менять на Комодо, штоле

Лет'з энкрипт - конечно интересно, но не на продакшен. Если по какой-то причине не перевыпустится - будет писдетц
Убей их всех! Бог потом рассортирует...

Аватара пользователя
xM
ст. лейтенант
Сообщения: 1316
Зарегистрирован: 2009-01-15 23:57:41
Откуда: Königsberg
Контактная информация:

nginx и startssl.com

Непрочитанное сообщение xM » 2017-05-05 20:46:13

Alex Keda писал(а): Если по какой-то причине не перевыпустится - будет писдетц
Ну это да. Однако за год не было прецедентов на куче сертификатов.
IT voodoo blog https://kostikov.co

Аватара пользователя
kharkov_max
капитан
Сообщения: 1862
Зарегистрирован: 2008-10-03 14:56:40

nginx и startssl.com

Непрочитанное сообщение kharkov_max » 2017-05-05 21:01:52

Случится как всегда, отвалится куча сертификатов и начнется жопа...

Аватара пользователя
xM
ст. лейтенант
Сообщения: 1316
Зарегистрирован: 2009-01-15 23:57:41
Откуда: Königsberg
Контактная информация:

nginx и startssl.com

Непрочитанное сообщение xM » 2017-05-05 21:17:25

За 90 дней вы же успеете почесаться, правда.
По мне так риск забыть вручную обновить сертификат через год и, тем более, три, выше на два порядка.
IT voodoo blog https://kostikov.co

Аватара пользователя
Alex Keda
стреляли...
Сообщения: 35454
Зарегистрирован: 2004-10-18 14:25:19
Откуда: Made in USSR
Контактная информация:

nginx и startssl.com

Непрочитанное сообщение Alex Keda » 2017-05-05 21:27:34

т.е. за 90 дней почесаться успеешь, а за три года - нет? =))
Убей их всех! Бог потом рассортирует...

Аватара пользователя
Alex Keda
стреляли...
Сообщения: 35454
Зарегистрирован: 2004-10-18 14:25:19
Откуда: Made in USSR
Контактная информация:

nginx и startssl.com

Непрочитанное сообщение Alex Keda » 2017-05-05 21:27:34

т.е. за 90 дней почесаться успеешь, а за три года - нет? =))
Убей их всех! Бог потом рассортирует...

Аватара пользователя
f_andrey
майор
Сообщения: 2651
Зарегистрирован: 2007-12-26 1:22:58
Откуда: СПб
Контактная информация:

nginx и startssl.com

Непрочитанное сообщение f_andrey » 2017-05-05 22:36:24

Alex Keda писал(а):т.е. за 90 дней почесаться успеешь, а за три года - нет? =))
Тут как бы и прелесть, что оно просто обязано быть автоматизированным и чесаться тупо не надо, а пока лень автоматизировать, то да постоянные проёбы наше всё
Если ваша тема перенесена, то смотри http://forum.lissyara.su/viewtopic.php?f=1&t=32308

Аватара пользователя
xM
ст. лейтенант
Сообщения: 1316
Зарегистрирован: 2009-01-15 23:57:41
Откуда: Königsberg
Контактная информация:

nginx и startssl.com

Непрочитанное сообщение xM » 2017-05-05 22:46:42

f_andrey писал(а): а пока лень автоматизировать, то да постоянные проёбы наше всё
Золотые слова. И все мы тут, как видно, имеем опыт :-D

Отправлено спустя 2 минуты 26 секунд:
Alex Keda писал(а): т.е. за 90 дней почесаться успеешь, а за три года - нет? )
Неправильная логика, дядя Фёдор. За три года точно забудешь, а за три месяца есть хороший шанс что не успеешь.
Но это всё пустое. Автоматизация есть и работает. Настроил и забыл. Ну для контроля ничто не мешает чтоб cron письмецо отправил контрольное при обновлении. Всяк почту смотришь регулярно.
IT voodoo blog https://kostikov.co

Аватара пользователя
f_andrey
майор
Сообщения: 2651
Зарегистрирован: 2007-12-26 1:22:58
Откуда: СПб
Контактная информация:

nginx и startssl.com

Непрочитанное сообщение f_andrey » 2017-05-06 0:44:34

xM писал(а): Золотые слова. И все мы тут, как видно, имеем опыт :-D
Прям таки практически в процессе :)))
xM писал(а): Автоматизация есть и работает. Настроил и забыл.
Кстати, вот насчёт есть и работает, не всё так просто, с одной стороны велосепедов куча и вроде как рабочих хватает и на вскус и цвет, но вот как то бестпрактикс, которые не стыдно вот взять и пременить или реализовать, как то не очень.

Вот сейчас как раз думаю, что просто доверять что выписался и ладно, как то стрёмновато, надо бы проверять перед заливкой. Да и старые отзывать не забывать.
Если ваша тема перенесена, то смотри http://forum.lissyara.su/viewtopic.php?f=1&t=32308

Аватара пользователя
xM
ст. лейтенант
Сообщения: 1316
Зарегистрирован: 2009-01-15 23:57:41
Откуда: Königsberg
Контактная информация:

nginx и startssl.com

Непрочитанное сообщение xM » 2017-05-06 13:38:36

f_andrey писал(а): но вот как то бестпрактикс, которые не стыдно вот взять и пременить или реализовать, как то не очень.
Да нате! Мне не жалко.
https://kostikov.co/tag/letsencrypt
Читать с конца. 8)
IT voodoo blog https://kostikov.co

Аватара пользователя
f_andrey
майор
Сообщения: 2651
Зарегистрирован: 2007-12-26 1:22:58
Откуда: СПб
Контактная информация:

nginx и startssl.com

Непрочитанное сообщение f_andrey » 2017-05-06 13:46:18

Не... это детский сад, ты не достаточно низко пал :)
У нас вона даже https://github.com/schors/perkele завелось, но сейчас может уже и не надо, там говорят в ансибл вкрутили вроде что то достаточное, но правда руками всё никак не пощупаю.
Если ваша тема перенесена, то смотри http://forum.lissyara.su/viewtopic.php?f=1&t=32308

Аватара пользователя
xM
ст. лейтенант
Сообщения: 1316
Зарегистрирован: 2009-01-15 23:57:41
Откуда: Königsberg
Контактная информация:

nginx и startssl.com

Непрочитанное сообщение xM » 2017-05-06 13:51:05

f_andrey писал(а): ты не достаточно низко пал
Гыгы.
Ну у меня к штатному certbot претензий ноль. Особенно после внедрения возможности использовать свой CSR.
IT voodoo blog https://kostikov.co