Điểm:0

Server

Làm cách nào để cho phép certbot có thể truy cập http://myapi.com/.well-known/acme-challenge/2d8dvxv8x9dvxd9v qua nginx?

variable

08:08, 16/06/2023

Tệp nginx.conf của tôi như sau:

dữ liệu www của người dùng;
worker_processes tự động;
pid /run/nginx.pid;
bao gồm /etc/nginx/modules-enabled/*.conf; 
# bao gồm ở trên mang đến các tệp mặc định sau:
#50-mod-http-image-filter.conf  
#50-mod-http-xslt-filter.conf  
#50-mod-mail.conf  
#50-mod-stream.conf

sự kiện {
        worker_connections 500;
}

http {
    bao gồm /etc/nginx/proxy.conf;
    limit_req_zone $binary_remote_addr zone=one:10m rate=100r/m;
    server_tokens tắt;

    gửi tệp trên;
    keepalive_timeout 30;
    client_body_timeout 10; client_header_timeout 10; gửi_thời gian chờ 10;

    thượng nguồn myapp{
        máy chủ 127.0.0.1:5000;
    }

    người phục vụ {
        nghe 443 ssl http2;
        nghe [::]:443 ssl http2;
        server_name myapi.com;
        ssl_certificate /etc/letsencrypt/live/myapi.com/fullchain.pem; # được quản lý bởi Certbot
        ssl_certificate_key /etc/letsencrypt/live/myapi.com/privkey.pem; # được quản lý bởi Certbot
        bao gồm /etc/letsencrypt/options-ssl-nginx.conf; # được quản lý bởi Certbot
        ssl_dhparam /etc/letsencrypt/ssl-dhparams.pem; # được quản lý bởi Certbot

        add_header X-Frame-Options TỪ CHỐI;
        add_header X-Content-Type-Options nosniff;


        #Chuyển hướng tất cả lưu lượng truy cập
        địa điểm / {
            proxy_pass http://myapi;
            giới hạn vùng_req = một cụm = 10;
        }
    }
}

tôi đã cài đặt certbot và certbot-nginx (ubuntu).

SSL đang hoạt động tốt. Tường lửa chỉ cho phép cổng 443.

Tôi đang cố gia hạn chứng chỉ certbot bằng lệnh: sudo certbot gia hạn --dry-run

Điều này cố gắng xác minh rằng tôi sở hữu miền bằng cách yêu cầu http://myapi.com/.well-known/acme-challenge/2d8dvxv8x9dvxd9v (lưu ý: Tôi đã làm xáo trộn giá trị khóa 2d8dvxv8x9dvxd9v vì đây là giá trị riêng tư)

Nhưng lần này hết rồi Vì vậy, tôi đã bật cổng 80 và thêm mục máy chủ bổ sung sau:

   người phục vụ {
         nghe 80;
         server_name myapi.com;
         trả lại 301 https://$host$request_uri;
      }

Bây giờ lệnh gia hạn certbot (sudo certbot gia hạn --dry-run) có thể gia hạn chứng chỉ. Thật kỳ lạ, ngay cả khi tôi xóa khối máy chủ này, quá trình gia hạn certbot vẫn hoạt động tốt.

Đường dẫn .well-known/acme-challenge ở đâu? Nó có được tạo/xóa khi đang di chuyển không?
Khi tôi xóa khối máy chủ cho cổng 80, thì nginx có thể gia hạn chứng chỉ như thế nào (vì nó cần cổng 80 cho thử thách certbot)?

0 + 0

certbot

Gerard H. Pille

10:09, 16/06/2023

Hãy để máy chủ trên cổng 80 chỉ trả lời các yêu cầu cho /.well-known/acme-challenge. Trang web của bạn sẽ an toàn hơn nếu bạn không chuyển hướng http sang https.

Hồi đáp

variable

10:11, 16/06/2023

Nhưng vị trí của `/.well-known/acme-challenge` là gì?

Hồi đáp

Gerard H. Pille

10:14, 16/06/2023

Tài liệu gốc của máy chủ nginx của bạn. Tôi dường như nhớ certbot hỏi nơi đặt nó.

Hồi đáp

variable

10:21, 16/06/2023

Có bất kỳ cấu hình nào mà tôi có thể kiểm tra điều này không?

Hồi đáp

Gerard H. Pille

10:26, 16/06/2023

Tất nhiên: cấu hình nginx của bạn. Không phải là /var/www/html mặc định sao? Tìm lệnh "root" trong cấu hình của bạn hoặc tham số dòng lệnh "p" khi bắt đầu nginx.

Hồi đáp

variable

10:29, 16/06/2023

Không chắc chắn - Tôi đã dán nội dung trên tệp nginx.conf của mình trong câu hỏi - nó không nói gì về/var/www/html

Hồi đáp

Gerard H. Pille

10:33, 16/06/2023

Bạn đã dán nginx.conf, nhưng chưa dán các cấu hình đi kèm. Kiểm tra "man nginx". Nó nói rằng /usr/share/nginx là mặc định. Tôi có chỉ thị gốc trong cấu hình của mình trỏ đến/var/www/html.

Hồi đáp

variable

10:37, 16/06/2023

Có, vừa mới kiểm tra cái này, "man nginx" nói rằng /usr/share/nginx là mặc định. Nhưng bạn đã kiểm tra những điều sau đây ở đâu? `Tôi có chỉ thị gốc trong cấu hình của mình trỏ đến /var/www/html`

Hồi đáp

Gerard H. Pille

10:42, 16/06/2023

Bằng cách tìm kiếm các tệp trong /etc/nginx. Tôi đã tìm thấy "./sites-available/default: root /var/www/html;"

Hồi đáp

variable

10:43, 16/06/2023

Như được hiển thị trong nội dung tệp nginx.config của tôi, không có bao gồm các trang có sẵn/mặc định - Tôi nghĩ điều này cho thấy rằng mặc định của tôi là/usr/share/nginx

Hồi đáp

Gerard H. Pille

10:47, 16/06/2023

certbot sẽ tạo tệp, xóa tệp khi hoàn tất. Bạn có thể kiểm tra ngày sửa đổi của thư mục sau đó.

Hồi đáp

variable

10:54, 16/06/2023

Ok có ý nghĩa. Vậy tôi có thể thay đổi dòng này `return 301 https://$host$request_uri;` thành `location / { root /usr/share/nginx; }`.

Hồi đáp

variable

11:24, 16/06/2023

Tôi hơi ngạc nhiên khi phát hiện ra rằng nếu tôi xóa máy chủ thứ 2 (nghe trên 80), thì ngay cả khi đó, việc gia hạn certbot vẫn hoạt động. Vì vậy, tôi không cần khối máy chủ thứ 2. Nhưng tôi tự hỏi làm thế nào để certbot có thể truy cập điểm cuối. Điều này làm tôi bối rối.

Hồi đáp

Gerard H. Pille

12:13, 16/06/2023

Có lẽ http://myapi đang cung cấp thử thách acme? Hay bạn quên khởi động lại nginx?

Hồi đáp

Gerard H. Pille

12:15, 16/06/2023

"location / { root /usr/share/nginx; }" sẽ cho phép truy cập mọi thứ trong /usr/share/nginx.

Hồi đáp

variable

12:48, 16/06/2023

Tôi đã khởi động lại hệ thống cũng như quá trình gia hạn certbot hoạt động (Có vẻ như tất cả những gì nó cần là cổng 80 để mở trên tường lửa). Tôi cũng đã xóa tất cả các khối mã máy chủ và quá trình gia hạn certbot vẫn hoạt động.

Hồi đáp

Gerard H. Pille

14:21, 16/06/2023

Sau đó, một cái gì đó bị thiếu trong cấu hình của bạn. /etc/nginx/proxy.conf chứa gì?

Hồi đáp

variable

14:23, 16/06/2023

Tôi cũng ngạc nhiên. `proxy_redirect tắt; proxy_set_header Máy chủ lưu trữ $host; proxy_set_header X-Real-IP $remote_addr; proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for; proxy_set_header X-Forwarded-Proto $scheme; client_max_body_size 10m; khách_thân_đệm_size 128k; proxy_connect_timeout 90; proxy_send_timeout 90; proxy_read_timeout 90; proxy_buffers 32 4k;`

Hồi đáp

variable

14:24, 16/06/2023

Certbot có thể tạm thời khởi động máy chủ của chính nó nhưng tôi không thể tìm thấy bất kỳ tài liệu tham khảo nào cho việc này.

Hồi đáp

Gerard H. Pille

14:48, 16/06/2023

Vì vậy, làm thế nào để bạn chạy certbot? Khi tôi chạy nó, nó hỏi tôi có muốn sử dụng một máy chủ hiện có không hay nó phải khởi động một máy chủ? Tôi không biết điều gì xảy ra với "chạy khô".

Hồi đáp

Gerard H. Pille

15:01, 16/06/2023

Đính chính: Bản thân tôi không sử dụng certbot, tôi đang sử dụng "certbot-auto".

Hồi đáp

variable

15:17, 16/06/2023

Đây là lệnh gia hạn `Sudo certbot refresh --dry-run`

Hồi đáp

Gerard H. Pille

16:41, 16/06/2023

Không thực sự, đó là một thử nghiệm để xem nếu gia hạn sẽ làm việc. Đồng thời, tôi đã đọc tài liệu của certbot. Bắt đầu máy chủ web của riêng mình phải là mặc định. Kiểm tra "man certbot".

Hồi đáp

variable

17:16, 16/06/2023

Nếu bạn muốn sửa đổi câu trả lời thì tôi có thể đánh dấu là đã trả lời.

Hồi đáp

Gerard H. Pille

17:36, 16/06/2023

Tôi sẽ thử. Tuy nhiên, vì bạn chỉ chạy "dry-run" nên bạn vẫn đang sử dụng chứng chỉ cũ?

Hồi đáp

variable

17:48, 16/06/2023

Chạy khô mô phỏng quá trình thực tế

Hồi đáp

Gerard H. Pille

17:59, 16/06/2023

"--dry-run Thực hiện chạy thử ứng dụng khách, lấy chứng chỉ thử nghiệm (không hợp lệ) nhưng không lưu chúng vào đĩa."

Hồi đáp

variable

18:15, 16/06/2023

Có, đảm bảo rằng khi lệnh gia hạn tự động chạy qua bộ lập lịch (từ công việc định kỳ tự động hoặc qua dịch vụ auto systemd) thì sẽ không có bất ngờ.

Hồi đáp

Điểm:1

Server

Gerard H. Pille

10:01, 16/06/2023

Bạn cần một tường lửa cho phép truy cập trên cổng 80 (http), certbot sẽ khởi động một máy chủ web để cung cấp tệp acme-challenge từ miền của bạn.

0 + 0

variable

10:04, 16/06/2023

Tôi đã làm như vậy và nó hoạt động, tôi đã cập nhật câu hỏi với thử thách.

Hồi đáp

variable

10:05, 16/06/2023

Tôi chỉ muốn phục vụ các yêu cầu https và chặn tất cả các yêu cầu http, ngoài việc gia hạn certbot. Thay đổi tôi cần thực hiện đối với nginx.config là gì?

Hồi đáp

Gerard H. Pille

10:12, 16/06/2023

Bạn cũng có thể yêu cầu tường lửa loại bỏ các yêu cầu cổng 80 khi certbor đã chạy. Tốt hơn nhiều so với việc nginx xử lý nó.

Hồi đáp

Phan Văn Trường

Câu hỏi này là trong các ngôn ngữ khác:

EN: How to allow certbot to be able to access http://myapi.com/.well-known/acme-challenge/2d8dvxv8x9dvxd9v via nginx?

TH: จะอนุญาตให้ certbot เข้าถึง http://myapi.com/.well-known/acme-challenge/2d8dvxv8x9dvxd9v ผ่าน nginx ได้อย่างไร

RO: Cum se permite certbot să poată accesa http://myapi.com/.well-known/acme-challenge/2d8dvxv8x9dvxd9v prin nginx?

RU: Как разрешить certbot доступ к http://myapi.com/.well-known/acme-challenge/2d8dvxv8x9dvxd9v через nginx?

VI: Làm cách nào để cho phép certbot có thể truy cập http://myapi.com/.well-known/acme-challenge/2d8dvxv8x9dvxd9v qua nginx?

Đăng câu trả lời

Hầu hết mọi người không hiểu rằng việc đặt nhiều câu hỏi sẽ mở ra cơ hội học hỏi và cải thiện mối quan hệ giữa các cá nhân. Ví dụ, trong các nghiên cứu của Alison, mặc dù mọi người có thể nhớ chính xác có bao nhiêu câu hỏi đã được đặt ra trong các cuộc trò chuyện của họ, nhưng họ không trực giác nhận ra mối liên hệ giữa câu hỏi và sự yêu thích. Qua bốn nghiên cứu, trong đó những người tham gia tự tham gia vào các cuộc trò chuyện hoặc đọc bản ghi lại các cuộc trò chuyện của người khác, mọi người có xu hướng không nhận ra rằng việc đặt câu hỏi sẽ ảnh hưởng—hoặc đã ảnh hưởng—mức độ thân thiện giữa những người đối thoại.