Vlastní hosting, apache, php, mysql, / jak vyřešit https

[Jey]

Vzhledem k rostoucím cenám hostingu nejen v případě 1 webu, ale multialiasů.. řeknu 10-20 webů, se koukám po jiném hostingu, ale nenacházím a neznám kam nejlépe přejít.

Takže jsem chtěl rozjet na vlastním stroji na optice, když tu ty možnosti mám. 1gbit respektive upload cca polovina, ping do nixu 3-4ms. Stroj můžu použít od NAS serveru kde je linux po dedikované pc s dalšími službami. Ale zůstávám u linuxu a půjde asi na, oproti výpadku energie, zálohovanému NAS serveru. Je tam debian nějaká starší verze (8 Jessie z let 2015-2018 a dál), rychlý SSD disk (nechal by se dát i NVME, ale není třeba).

Zprovoznil jsem: apache, php, mysql na localhostu, nasměroval porty atd.. (už jsem to takhle kdysi provozoval) nasměroval složky (podle jména domény v URL adrese požadavku od prohlížeče) a skončil jsem u toho, že dnes je potřeba mít každý web HTTPS certifikát a používat port 443 namísto 80. Přesměrování url adresy mám vyřešené.

Jen nevím kde najít nějaký postup, jak instalovat HTTPS certifikát, aby bylo spojení zabezpečené. Měl bych si ho vygenerovat u Lets encrypt, to se chystám dnes, ale nic nevím o implementaci a provedení v linuxu. Máte s tím někdo zkušnost, nebo byste mě věděli nasměrovat? Zkoušel jsem google a ten vyhodil jen nabídky webhostingu s https.

Můžu nahrávat na server a přistupovat ke všem konfigům přímo. Ať už debianu, apache, php, mysql, nebo něčeho jiného.

[zsdx]

Nadherny navod na ctyri radky jsem nasel, ale hned nad nim byl v Google vyhledavani odkaz do Let's Encrypt fora, kde pisou

You need a newer version of Certbot. Debian 8 (Jessie) is “end of life” since June 30 2020, meaning it does not receive updates

.

[Jey]

Ja vim, ale Jessie 8 je v trapu, tam uz aktualizace nebudou vydavat. Tykalo se to snad jen te (certbot?) utility.. ne vlastniho certifikatu. Zkusil bych, musi nejak jit. Stejně potrebuju jen php 5.4 a tady je luxusni 5.5 - 5.6 bez toho ze bych musel forcenout nejakou starsi verzi. Sem s tim navodem, me vyhodil google spoustu odkazu, vsechno byly hostingy. / jsem schopny editovat cokoliv najdu s root uctem adminem a vi editorem pomoci SSH.

[zsdx]

No, ale on ten navod byl prave k certbotu...

[killerek]

LE certy jsou na max 3 mesice, tak potrebujes utility na automaticke obnovovani. Jsou myslim dve, jednu ste zminili a na druhou si nezpomenu. Jinak s Deb8 si dost outdated. Koukal si jen na hosting webu nebo i na VPSka?

[Jey]

LE certy jsou na max 3 mesice, tak potrebujes utility na automaticke obnovovani. Jsou myslim dve, jednu ste zminili a na druhou si nezpomenu. Jinak s Deb8 si dost outdated. Koukal si jen na hosting webu nebo i na VPSka?

Moc me to nelaka.. jednou maj ceny dobry, potom jenom v akci a jeste musis zrizovat jiny-novy ucet a prenaset vse ze stareho na novy, potreti v blede modrem to same.
Jelikoz mi staci php 5.5 +- a jde jen o malozatezove weby a aplikace, a uz jsem si je hostoval, tak se snazim najit moznost na tom NAS serveru, debian 8 jessie bohuzel nemuzu zmenit, co tam je.. pak by nefungoval tak jak doposud. (a uz odstavily podporu a updaty bohuzel). Nez se matorit s vps nebo dedicated serverem, tak se to prave snazim rozjet na masine co jinak hostuje pevne disky a funguje jako NAS. Procesor je tam slaby, ale 4gb pameti, ssd, nizka spotreba.

[Jey]

Hm.. driv ten certifikat vydrzel snad (pul?)rok nebo snad jeste dele. Nemyslim si, ze to bude neresitelne, jen se v tom nejak moc nevyznam. Vzal jsem nejaky navod a .. navic ten Jessie 8 je tam asi mirne modnuty (NAS server Netgear + ReadyNAS OS).. ale. APT INSTALL CERTBOT se podarilo bez problemu. Otazka je ted co dal.. jak-kde si vygenerovat certifikat na prislusne domeny a jak to cele zfunkcnit eh. No prd se v tom vyznam, priznavam. Zkusil jsem ten navod (bavi me preinstalovavat ), kdyz uz mam funkcni cely hosting vcetne apache (php), sql (mysql) a spravy tj. phpmyadmin atd. tedy pres http vse funkcni.

Domeny jsou ve sprave provozovatele hostingu, reknu treba wedos.. jsou nasmerovane domenove aliasy na prislusnou ip adresu. Tam jdou do rootu a pomoci .htaccess se serviruje prislusna slozka-adresar se soubory a obsahem pro danou domenu.

Kód: Vybrat vše

W: The repository 'http://ftp.debian.org/debian jessie-backports Release' does not have a Release file.
N: Data from such a repository can't be authenticated and is therefore potentially dangerous to use.
N: See apt-secure(8) manpage for repository creation and user configuration details.
W: The repository 'https://apt.readynas.com/packages/readynasos 6.10.8 Release' does not have a Release file.
N: Data from such a repository can't be authenticated and is therefore potentially dangerous to use.
N: See apt-secure(8) manpage for repository creation and user configuration details.
W: GPG error: http://archive.kernel.org/debian-archive/debian jessie-backports InRelease: The following signatures were invalid: KEYEXPIRED 1587841717  KEYEXPIRED 1587841717  KEYEXPIRED 1587841717  KEYEXPIRED 1587841717  KEYEXPIRED 1587841717  The following signatures couldn't be verified because the public key is not available: NO_PUBKEY 7638D0442B90D010
W: GPG error: http://archive.kernel.org/debian-archive/debian jessie Release: The following signatures were invalid: KEYEXPIRED 1587841717  KEYEXPIRED 1587841717  KEYEXPIRED 1587841717  KEYEXPIRED 1587841717  KEYEXPIRED 1587841717
E: Failed to fetch http://ftp.debian.org/debian/dists/jessie-backports/main/binary-amd64/Packages  404  Not Found [IP: 151.101.130.132 80]
E: Failed to fetch https://apt.readynas.com/packages/readynasos/dists/6.10.8/updates/binary-amd64/Packages  403  Forbidden
E: Some index files failed to download. They have been ignored, or old ones used instead.
root@NAS:/# sudo certbot --apache
Saving debug log to /var/log/letsencrypt/letsencrypt.log

Prvni dva radky navodu ok, zkontroloval jsem modnuty - rozsireny sources.lst backport repo, nasledne probiha instalace.. ale na konci vyhaze tyhle chybove hlasky. Nevim jak nebo proc nacpat domeny do apache, kdyz je ma ve sprave wedos a jsou jen nasmerovane na ip. Podle chybove hlasky je potreba nejake klice nebo signatury.

[Jey]

hm.. tak opravdu na debian 8 ten certbot uz nema nejake knihovny a proste nechce chodit

Cron, nebo neco podobneho bych snad i dokazal pripravit. Nasel jsem nejaky navod
https://www.server-world.info/en/note?os=Debian_8&p=ssl
Tohle ma fungovat? Cele to vypada funkcne.. ale asi ukladam ten cert na spatne misto.. a predpokladam, ten mi jen tak nedaji? Nebo.. jak bych mel, resp. kde rict apache2 ze ma posilat prave tento vybrany certifikat? Takova vec by snad mela stacit..

[zsdx]

Navod tam je spravny, ale v sekci web/ssl

[Jey]

Navod tam je spravny, ale v sekci web/ssl

Jak ten druhy, tak i ten prvni navod fungoval, musim zaklepat. Problem je, ze jde o NAS server. Apache2 je tam urcite nainstalovany jen jednou. Nejak musi byt nasmerovane slozky nebo porty, protoze sluzby jako php, mysql, mysqladmin, pihole, nas-admin si vsechny funguji nezavisle. Bezi tu bud na rozdilnych portech nebo ve slozkach jako hosting, pro ktery mam funkcni "Hello World". Co jsem nenastavil je prirazeni domeny.. protoze chci smerovat 10-20 ruznych domen a tyto obsluhovat z rootu (jako na hostingu) pomoci .htaccess servirovat domeny, pozadavky, soubory. Takze do dns zaznamu jsem dal ip adresu, a pozadavek je smerovan spravne.

Ale co nevim, jak zajistit, ze se serviruje navstevnikovi, prave ten vygenerovany certifikat. Prokazatelne jsem vytvoril /etc/ssl/private/server.key a server.crt na zaklade vymyslenych udaju. A samozrejme jsem mel upraveny sites-enabled deffault-http config, byly tam oba klice, pak prestaly fungovat vsechny sluzby, musel jsem dat zpet.
Jednotlive sluzby serviruje NAS bud bez certifikatu, nebo s certifikatem prokazatelne vydanym primo ReadyNAS (oznaceny NAS-f6-C4 ...) atd. vydanym NAS local authority leto 2024.

[zsdx]

protoze chci smerovat 10-20 ruznych domen

S jednim certifikatem?!

No a ta NAS nema tak cisty Debian, jak se zda...

[Jey]

Na dřívějším hostingu (chválím WEDOS) byla možnost https certifikát vygenerovat pro 100 sub/domén zároveň, ten pak takto i fungoval. Jenže cena hostingu a neustále odsouvani služeb za příplatek a přidávání dalších.

Je to upravený Debian 8 Jessie. Nevím kde a kdy nastavit a jakému požadavků na domenu-url se naservíruje vybraný certifikát.

Pokud to jsou konfigy v sites-enabled, tak jsem editoval zatím jen default (certifikát, klic) a ten NAS bricknul. Mám zkusit další? Tak zkusím další.

// Když už jsem tam docpal všechny pridavkove Apps: mFi Controller, PiHole, Teamspeak3 a nakonec preze všechny Apache, PHP, MySQL a PHPAdmin a všechno funguje jak má .. tak tohle https už musím.

[Jey]

Tak
... certbot vypada cely nainstalovany.
... openssl vypada cele nainstalovane.

Nepopsatelny pocit kdyz sem pochopil, ze si pomoci openssl generuji klic do /etc/ssl/private jako server.crt server.csr server.key..
a spravne musi byt umisteny jako apache2.pem v rootu apache tj /etc/frontview/
takze uz funguje, ze se serviruje https certfikat, ktery vyberu, fajn ze je pro cely server a jde to jak cele chapu.

Kód: Vybrat vše

cd /etc/ssl/private/
cat server.crt server.key > server.includesprivatekey.pem
cp /server.includesprivatekey.pem /etc/frontview/apache/apache2.pem
systemctl restart apache2

Ted jen zjistit, jak si vygenerovat tech 100 sub+domen, ktere jsou zdarma na jeden certifikat u letsencrypt a cele to zautomatizovat - cron nejaky bude nakonec nejlehci.

Zkusil jsem klasicke nakonec :certbot certonly --standalone -d neural1.dns-dynamic.net --staple-ocsp -m test@neural1.dns-dynamic.net --agree-tos:"

Kód: Vybrat vše

Saving debug log to /var/log/letsencrypt/letsencrypt.log

How would you like to authenticate with the ACME CA?
-------------------------------------------------------------------------------
1: Place files in webroot directory (webroot)
2: Spin up a temporary webserver (standalone)
-------------------------------------------------------------------------------
Select the appropriate number [1-2] then [enter] (press 'c' to cancel): 1
Enter email address (used for urgent renewal and security notices) (Enter 'c' to
cancel):nejaky@mail.com
Starting new HTTPS connection (1): acme-v01.api.letsencrypt.org
An unexpected error occurred:
ConnectionError: HTTPSConnectionPool(host='acme-v01.api.letsencrypt.org', port=443): Max retries exceeded with url: /directory (Caused by NewConnectionError('<requests.packages.urllib3.connection.VerifiedHTTPSConnection object at 0x7fd6bacf3450>: Failed to establish a new connection: [Errno -2] Name or service not known',))
Please see the logfiles in /var/log/letsencrypt for more details.

pak jsem forcenul acme-v02.api.letsencrypt.org API

Kód: Vybrat vše

How would you like to authenticate with the ACME CA?
-------------------------------------------------------------------------------
1: Place files in webroot directory (webroot)
2: Spin up a temporary webserver (standalone)
-------------------------------------------------------------------------------
Select the appropriate number [1-2] then [enter] (press 'c' to cancel): 1
Enter email address (used for urgent renewal and security notices) (Enter 'c' to
cancel):aaa@mail.com
Starting new HTTPS connection (1): acme-v02.api.letsencrypt.org
An unexpected error occurred:
ClientError: Unexpected response Content-Type: text/html
Please see the logfiles in /var/log/letsencrypt for more details.

Pak uz se mi zdalo, jen ze mozna ten certbot. Pise ze je aktualni a verze je 0.10, aktualizovat se nechce. Nevim jaky vzit jiny zdroj, ze bych nainstaloval. Aktualni je nejaka 3-4 verze.

[Jey]

Neznáte a existuje nějaké CZ linux fórum, kde se diskutují distra, instalace, moduly atd.. primárně ne GUI, ale celkově hlavně obecně CLI (command line interface) přes SSH ???

[Luděk]

Cele sem to necetl. Nicmene doma provozuji server na kterem mam zpristupnene aplikace pres internet. Na server mam nainstalovany https://www.openmediavault.org (server pouzivam i jako NAS) a dodatecne sem tam installoval pak uz jen docker a docker compose.

Aplikace provozuji na docker swarm a pro zpristupneni pres internet pouzivam reverzni proxy Traefik (https://traefik.io/traefik/), ktery si sam umi udrzovatLets encrypt certifikaty. Na DNS pak Cloudflare (poskytuji zakladni sluzby zdarma).

Ale nevim jestli by toto reseni bylo pro tve potreby pouzitelne. Zalezi zda mas alespon nejakou zkusenost s docker a docker-compose. Nicmene na netu jsou na to navody jak to zprovoznit a pripradne muzu nasdilet definici pro nasazeni traefiku pomoci docker-compose.

[Jey]

Diky za tip. Jo, uz jsem uvazoval vyrobit si NAS vlastni na miru, z nepotrebneho HW. Asi by mel i nasobne vetsi vykon / spotrebu. Ale upgrade nejak moc nepotrebuju. Koukal jsem po ruznych FreeNAS, OpenNAS, TrueNAS, apod. a ty jsou taky proprietarni orezane distribuce linuxu. Prakticky vzdy se narazi v nejake fazi na velky problem.

Ukazalo se, ze rozjet si vse na NAS (proprietarni hw krabice) od NetGear, ktera ma ReadyNAS OS, ktere umi treba virtualbox rozjet, takze lze testovat, je dlouhodobe nejjednodussi.

Samotny OS bezi prakticky na cemkoliv.. i na libovolne poskladenem desktop PC (ale mam jejich HW NASku na 2 disky + 2 dalsi pres eSATA, USB3). Problem jsou ty stare linuxy, je to Linux 8 Jessie based. A protoze existovaly balicky, apache tam bezi kvuli webadminu, stacilo stahnout PHP, ktere uz tam taky bezelo, MySql, PHPMyAdmin. Pak nebo drive jsem si tam rozchodil teamspeak, utorrent, mfi chytrou domacnost s mongodb. A vse se vzdy podarilo.

Nejakou dobu jsem tam zkousel hosting, i ten slaby Atom 2,13Ghz z roku? 2012? (+ ssd + opticke pripojeni) reaguje pri servirovani web stranek lepe nez placeny hosting (cachovany, chraneny, xkrat upgradovany, nalozeny v olejove lazni)... eh. Jenze. Pak prislo HTTPS naprosto vsude a placeny hosting zdrazil asi 6x protoze vynucuje pridavne sluzby/technologie.

Dnes bych opet rad rozjel, ale prekazka je prave ten HTTPS. Potrebuju certifikat od letsencrypt (ten jsem mel) a pravidelne jej obnovovat. Do pozadavku se da nacpat 100 sub/domen, coz zahrne vsechny weby na 1 jediny certik. Jenze nevim cim ten certifikat vyzadat a obnovovat.. protoze certbot je tam 0.10 a upgradovat pomoci "apt-install update" nejde. Uz se mi podarilo servirovat browseru nejaky "vymysleny certifikat" a zkousel jsem nejaky zerossl nebo zerohttps (jenze ten se musi odklikavat jako neduveryhodny) , ale bojuju s tim letsencrypt (ktery prave chci).

/ docker / DOCKER.. matne tusim co to je, ze mi v tom bezi PiHole (probehla automatizovana instalace), ale neumim s tim. Stejne jako vim ze je nejaky openssl, acme, snap. Tak hledam zpusob - nastroj-balicek, jak obdrzet validni LETSENCRYPT. A rad si hraju s SSH, VBOX, linuxem..