Помогите с HTTPS на ApacheГраждане не традиционной ориентации, прошу вашей помощи. / developers :: пидоры помогите (реактор помоги) :: web :: hosting :: Pem :: https :: virtual host :: что то пошло не так

xaraxara
что то пошло не так virtual host https Pem hosting пидоры помогите web developers 

Помогите с HTTPS на Apache

Граждане не традиционной ориентации, прошу вашей помощи.

У знакомого моего знакомого случилась проблема с хостингом на котором крутятся дофига сайтов. Он использовал панельку управления сайтами испманагер, но из-за финансовых проблем не стал ее продлевать, соответственно отвалилось автопродление сертификатов для HTTPS. Остальное на первый взгляд вроде работает. 
Подключившись к серверу, я как неопытный пидор, получил сертификаты не традиционным способом, вот так:
sudo certbot certonly --manual --preferred-challenges dns --debug-challenges -d сайт.com -d www.сайт.com
sudo certbot --apache -d сайт.com -d www.сайт.com
в днс внес ключи acme.

Все работало пару дней, пока не стал замечать что для нескольких сайтов браузер начал выдавать такую ошибку:
Ваше подключение не защищено
Злоумышленники могут пытаться похитить ваши данные с сайта сайт.com (например, пароли, сообщения или номера банковских карт). Подробнее…
NET::ERR_CERT_COMMON_NAME_INVALID
Subject: сайт_номер9.com
Issuer: R3

По данному коду в инете много предположений. Нем могу понять что случилось.
Получил повторно сертификат но ошибка не пропадает. Такое впечатление что Апач как то закешировал ключ для сайт_номер9.com и выдает его каждый раз. Причем в файлах для виртуальных хостов (/etc/apache2/vhosts) правильно прописаны пути к сертификатам /etc/letsencrypt/live, в директории символьные ссылки на реальные файлы *.pem в /etc/letsencrypt/archive

Еще заметил что список сайтов для которых используется не правильный сертификат иногда меняется, т.е. сейчас ошибка для сайта сайт.com, через пару часов это будете для сайта сайт2.com. Есть только один сайт для которого такая ошибка постоянная, его имя в формате 1ххххх.com и совпадает с именем сервера.

Подробнее
что то пошло не так,virtual host,https,Pem,hosting,пидоры помогите,реактор помоги,web,developers
Еще на тему
пидоры помогите

пидоры помогите(7688)

Развернуть
Комментарии 3601.03.202411:44ссылка-1.7
Апач то перезапускал после изменения конфигурации? Он из только при запуске читает
mozillla mozillla 01.03.202411:56 ответить ссылка 7.8
Конечно, я пару дней уже мучаюсь, и сервер перезапускал и апач каждый раз как обновляю или получаю новые сертификаты
xara xara 01.03.202411:58 ответить ссылка 0.9
Проверь, чтобы разные сайты через символьные ссылки не ссылались на одни и теже файлы сертификатов
mozillla mozillla 01.03.202411:57 ответить ссылка 1.2
я это проверял и пересоздавал для тех сайтов у которых есть проблемы с сертификатами. они кстати были, но после пересоздания символьных ссылок ничего не изменилось
xara xara 01.03.202411:59 ответить ссылка 0.9
а как символьные ссылки могут пересоздаваться на левый ключ? при получении нового сертификата для сайта по идее она должна переписываться на новый ключ, а не на ключ другого сайта
xara xara 01.03.202412:02 ответить ссылка 0.9
Скорее проблема в том, что открытый ключ сервера R3 не добавлен в chain или fullchain
https://letsencrypt.org/certificates/ - сертификат бери отсюда.
потом перезапускай apache
IGRYN IGRYN 01.03.202412:04 ответить ссылка 0.9
не надо ниоткуда ничего качать. там в папочке лайв есть все необходимые сертификаты, включая чейн и фуллсейн
SSLCertificateFile /etc/letsencrypt/live/[dir]/cert.pem
SSLCertificateKeyFile /etc/letsencrypt/live/[dir]/privkey.pem
SSLCertificateChainFile /etc/letsencrypt/live/[dir]/chain.pem
Чупакабра Чупакабра 01.03.202412:14 ответить ссылка 1.4
так и есть, еще и fullcain.pem
xara xara 01.03.202412:17 ответить ссылка 0.9
Как человек, не разбирающийся в настройке Апача, я бы тупо бахнул что-то вроде такого:
for FILE in `find / -iname '*.pem'` ; do openssl x509 -text -in ${FILE} | grep "сайт_номер9"| echo "${FILE} is wrong" ; done
Может, что-то переврал, но идею, надеюсь, донёс.
Hauptmarschall Hauptmarschall 01.03.202412:22 ответить ссылка 0.3
между клиентом и индейцем есть промежуточный хост с каким-нибудь nginx или подобной херней?
Чупакабра Чупакабра 01.03.202412:23 ответить ссылка 0.5
netstat -napt
Чупакабра Чупакабра 01.03.202412:24 ответить ссылка 0.3
Active Internet connections (servers and established) Proto Recv-Q Send-Q Local Address Foreign А tcp 0 0 :53 0.0.0.0:* tcp 0 0 :53 0.0.0.0:* tcp 0 0 :53 0.0.0.0:* tcp 0 0 :953 0.0.0.0:* tcp 0 0 : 33060 0.0.0.0:* tcp 0 0 : 1577 0.0.0.0:* tcp 0 0 : 3306 0.0.0.0:* tcp 0 о о о о о
xara xara 01.03.202412:38 ответить ссылка 0.0
Для начала проверь что за сертификат получает браузер, когда выдает ошибку. В адресной строке слева от адреса можно посмотреть инфу
h8myself h8myself 01.03.202413:20 ответить ссылка 0.9
Общие Подробнее Кому выдан Общее имя (СN) Организация (О) Подразделение (OU) <Не является частью сертификата> <Не является частью сертификата> Кем выдан Общее имя (СN) R3 Организация (О) Let's Encrypt Подразделение (OU) <Не является частью сертификата> Срок действия Дата выдачи среда, 21
xara xara 01.03.202413:29 ответить ссылка 0.0
но сайт который я открываю 1ххххх.com
xara xara 01.03.202413:30 ответить ссылка 0.0
А проверь ip адрес, какой получаешь из днс - бывает, что указано две A-записи для домена, и они выдаются 50/50.
Браузер кеширует днс запросы, поэтому, если получил правильную запись, то дальше сайт будет работать в этом браузере
mozillla mozillla 01.03.202413:37 ответить ссылка 0.0
ДНС на хезнере, там во всех записях А и АААА для домена 1ххххх.com и его поддоменов выставлены одинаковые адреса, записи не повторяются, других адресов нет
xara xara 01.03.202413:49 ответить ссылка 0.0
похоже что это какой то прикол с апачем и https, он же по умолчанию не рубит https. может он берет первый попавшийся сертификат по имени из списка отсортированного по имени? этот сертификат судя по всему самый первый в таком списке.
xara xara 01.03.202413:58 ответить ссылка 0.0
2ip.io возвращает правильное IP сервера
xara xara 01.03.202413:56 ответить ссылка 0.0
Попробуй потушить апач на новом хостинге и посмотреть, будет ли продолжать отвечать сайт
h8myself h8myself 01.03.202414:23 ответить ссылка 0.3
Не удаётся получить доступ к сайту

Все сайты не доступны
xara xara 01.03.202414:35 ответить ссылка 0.0
После выключения и включения один из сайтов у которого была проблема с сертификатом заработал. Теперь тянет правильный сертификат
xara xara 01.03.202414:38 ответить ссылка 0.0
Покажи конфиги апача
h8myself h8myself 01.03.202415:43 ответить ссылка 0.0
Именно виртуальных хостов
h8myself h8myself 01.03.202415:44 ответить ссылка 0.0

проверяешь с одного и того же места? что браузер за серт видит?

kopinus kopinus 01.03.202413:41 ответить ссылка 0.3
проверял на разных браузерах, в режимах инкогнито, на мобильном тоже и даже на разных инетпровайдерах
xara xara 01.03.202413:47 ответить ссылка 0.0
так же на разных компьютерах, уже через впн даже пробовал
xara xara 01.03.202413:48 ответить ссылка 0.0
сумасшедшая идея...
старый хостинг еще жив?
посмотри dns-сервера...
возможно вторичный сервер не обновляется. и рандомно клиентов отсылают на старый хостинг, а там, возможно, отозванные сертификаты
Чупакабра Чупакабра 01.03.202414:02 ответить ссылка 0.3
nslookup
> server ns1.domain.com
> www.doamin.com
> server ns2.domain.com
> www.doamin.com
Чупакабра Чупакабра 01.03.202414:03 ответить ссылка 0.3
про старый хостинг ничего не знаю, хозяин тоже ничего сказать не может)
> 1 .com .2 . 2#53 Non-authoritative answer: Name: 1 .com Address: 135. 7.22 Name: 1 .com Address: 2a01: Server: 185. Address: 185. :da5f :: 1
xara xara 01.03.202414:16 ответить ссылка 0.0
записи на основном и вторичном DNS-серверах доменов совпадают?
Чупакабра Чупакабра 01.03.202415:22 ответить ссылка 0.0
выпытал у хозяина. был раньше днс на vdsina, для сайта, ключи которого используются, потом перенесли записи на хезнер, но в предыдущем днс не удалили записи. сейчас удалил записи. там наверное нужно время чтоб это все применилось. но пока результата я не вижу
xara xara 01.03.202415:59 ответить ссылка 0.0
судя по всему не помогло
xara xara 01.03.202417:07 ответить ссылка 0.0
ls -l /etc/letsencrypt/live/1xxxx.com/cert.pem
>lrwxrwxrwx 1 root root 48 Feb 29 16:58 /etc/letsencrypt/live/1xxxx.com/cert.pem -> /etc/letsencrypt/archive/1xxxx.com/cert2.pem
openssl x509 -in /etc/letsencrypt/live/1xxxx.com/cert.pem -noout -subject
>subject=CN = 1xxxx.com
xara xara 01.03.202418:10 ответить ссылка 0.6
mm33 mm33 01.03.202421:27 ответить ссылка 0.0
 ИСПОЛЬЗОВАТЬ ТОЛЬКО В СЛУЧАЕ КРАЙНЕЙ НЕОБХОДИМОСТИ
xara xara 01.03.202423:09 ответить ссылка 0.0
Только зарегистрированные и активированные пользователи могут добавлять комментарии.
Похожие темы
Epic

Epic

Skyrim

Skyrim

it-юмор

it-юмор

web

https

jam

developers

qa

что-то пошло не так

Pem

virtual host

hosting


Тренды

Новый Год
Похожие посты
КУПОН НА 1 помощь КУПОН НА 1 помощь ИСПОЛЬЗОВАТЬ ТОЛЬКО В СЛУЧАЕ КРАЙНЕЙ НЕОБХОДИМОСТИ Ж
подробнее»

пидоры помогите,реактор помоги помощь Торрент

ИСПОЛЬЗОВАТЬ ТОЛЬКО В СЛУЧАЕ КРАЙНЕЙ НЕОБХОДИМОСТИ Ж
КУПОН НА 1 помощь £? Управление компьютером Файл Действие Вид Справка I а ш в ш г X л t & Управление компьюте ^ й Служебные програ\ > © Планировщик за; > Щ Просмотр собып- > Общие папки > >• Локальные польз > ® Производительн( Л Диспетчер устро! ^ Й Запоминающие уст| >Т Управление диск. > ¡¡¡» Службы и п
подробнее»

Windows 10 помогите прошу совета помогите пидоры помогите! Прошу помощи реактор помоги

£? Управление компьютером Файл Действие Вид Справка I а ш в ш г X л t & Управление компьюте ^ й Служебные програ\ > © Планировщик за; > Щ Просмотр собып- > Общие папки > >• Локальные польз > ® Производительн( Л Диспетчер устро! ^ Й Запоминающие уст| >Т Управление диск. > ¡¡¡» Службы и п