Помогите с HTTPS на Apache
Граждане не традиционной ориентации, прошу вашей помощи.
У знакомого моего знакомого случилась проблема с хостингом на котором крутятся дофига сайтов. Он использовал панельку управления сайтами испманагер, но из-за финансовых проблем не стал ее продлевать, соответственно отвалилось автопродление сертификатов для HTTPS. Остальное на первый взгляд вроде работает.
Подключившись к серверу, я как неопытный пидор, получил сертификаты не традиционным способом, вот так:
sudo certbot certonly --manual --preferred-challenges dns --debug-challenges -d сайт.com -d www.сайт.com
sudo certbot --apache -d сайт.com -d www.сайт.com
sudo certbot --apache -d сайт.com -d www.сайт.com
в днс внес ключи acme.
Все работало пару дней, пока не стал замечать что для нескольких сайтов браузер начал выдавать такую ошибку:
Ваше подключение не защищено
Злоумышленники могут пытаться похитить ваши данные с сайта сайт.com (например, пароли, сообщения или номера банковских карт). Подробнее…
NET::ERR_CERT_COMMON_NAME_INVALID
Subject: сайт_номер9.com
Issuer: R3
По данному коду в инете много предположений. Нем могу понять что случилось.
Получил повторно сертификат но ошибка не пропадает. Такое впечатление что Апач как то закешировал ключ для сайт_номер9.com и выдает его каждый раз. Причем в файлах для виртуальных хостов (/etc/apache2/vhosts) правильно прописаны пути к сертификатам /etc/letsencrypt/live, в директории символьные ссылки на реальные файлы *.pem в /etc/letsencrypt/archive
Еще заметил что список сайтов для которых используется не правильный сертификат иногда меняется, т.е. сейчас ошибка для сайта сайт.com, через пару часов это будете для сайта сайт2.com. Есть только один сайт для которого такая ошибка постоянная, его имя в формате 1ххххх.com и совпадает с именем сервера.
Все работало пару дней, пока не стал замечать что для нескольких сайтов браузер начал выдавать такую ошибку:
Ваше подключение не защищено
Злоумышленники могут пытаться похитить ваши данные с сайта сайт.com (например, пароли, сообщения или номера банковских карт). Подробнее…
NET::ERR_CERT_COMMON_NAME_INVALID
Subject: сайт_номер9.com
Issuer: R3
По данному коду в инете много предположений. Нем могу понять что случилось.
Получил повторно сертификат но ошибка не пропадает. Такое впечатление что Апач как то закешировал ключ для сайт_номер9.com и выдает его каждый раз. Причем в файлах для виртуальных хостов (/etc/apache2/vhosts) правильно прописаны пути к сертификатам /etc/letsencrypt/live, в директории символьные ссылки на реальные файлы *.pem в /etc/letsencrypt/archive
Еще заметил что список сайтов для которых используется не правильный сертификат иногда меняется, т.е. сейчас ошибка для сайта сайт.com, через пару часов это будете для сайта сайт2.com. Есть только один сайт для которого такая ошибка постоянная, его имя в формате 1ххххх.com и совпадает с именем сервера.
Подробнее
что то пошло не так,virtual host,https,Pem,hosting,пидоры помогите,реактор помоги,web,developers
Еще на тему
https://letsencrypt.org/certificates/ - сертификат бери отсюда.
потом перезапускай apache
SSLCertificateFile /etc/letsencrypt/live/[dir]/cert.pem
SSLCertificateKeyFile /etc/letsencrypt/live/[dir]/privkey.pem
SSLCertificateChainFile /etc/letsencrypt/live/[dir]/chain.pem
for FILE in `find / -iname '*.pem'` ; do openssl x509 -text -in ${FILE} | grep "сайт_номер9"| echo "${FILE} is wrong" ; done
Может, что-то переврал, но идею, надеюсь, донёс.
Браузер кеширует днс запросы, поэтому, если получил правильную запись, то дальше сайт будет работать в этом браузере
Все сайты не доступны
проверяешь с одного и того же места? что браузер за серт видит?
старый хостинг еще жив?
посмотри dns-сервера...
возможно вторичный сервер не обновляется. и рандомно клиентов отсылают на старый хостинг, а там, возможно, отозванные сертификаты
> server ns1.domain.com
> www.doamin.com
> server ns2.domain.com
> www.doamin.com
>lrwxrwxrwx 1 root root 48 Feb 29 16:58 /etc/letsencrypt/live/1xxxx.com/cert.pem -> /etc/letsencrypt/archive/1xxxx.com/cert2.pem
openssl x509 -in /etc/letsencrypt/live/1xxxx.com/cert.pem -noout -subject
>subject=CN = 1xxxx.com