Tutorial Install SSL gratis pe sentora pentru toate domeniile

[AlexH]

Acesta este un tutorial a rula SSL gratis pe sentora pentru doate domeniile.
Nivel de cunostinte: Mediu
Dificultate: 5/10
Free SSL: letsencrypt

Va rog sa urmati toti pasii asa cum sunt scrisi mai jos.

[HIDE-POSTS=10][/HIDE-POSTS][HIDE-POSTS=10][/hide-posts][HIDE-POSTS=10]

1. login pe root
2.

yum update -y
yum install mod_ssl
yum install openssl
yum install git
git clone https://github.com/letsencrypt/letsencrypt
cd letsencrypt
./letsencrypt-auto --help

3. Acum avem ssl instalat si urmatorul pas este sa generam pentru fiecare domeniu in parte.
4. rulati comanda hostname si vedeti url care apare. ar trebui sa fie ceva de gen: s1.numedomeniu.com
5. acum rulam urmatoarea comanda pentru a genera ssl pentru hostname

service httpd stop
./letsencrypt-auto certonly --standalone -d s1.numedomeniu.com
service httpd start

Urmatorul pas este sa generam certificat ssl pentru fiecare domeniu in parte. Eu voi face exemplu pentru unul iar voi trebuie sa faceti acelasi lucru pentru fiecare domeniu.
De retinut: Trebuie facut ssl pentru www si non www si daca nu vreti sa va complicati, atunci lasati site-ul sa ruleze pe non www care este default. Pentru www se fac aceiasi pasi doar ca se adauga www in fata la domeniu.
1. generam ssl pentru domeniu.com

service httpd stop
./letsencrypt-auto certonly --standalone -d domeniu.com
service httpd start

2. login in sentora panel si mergeti la Admin -> Module Admin -> Apache Config > Override a Virtualhost si alegeti domeniu.com
3. bifati casuta la Forward Port 80 to Overriden Port
4. la Port Override puneti 443
5. la Custom Entry: adaugati codul de mai jos si inlocuiti domain.com cu domeniul vostru

SSLEngine on
SSLProtocol ALL -SSLv2 -SSLv3
SSLHonorCipherOrder On
SSLCipherSuite ECDH+AESGCM:DH+AESGCM:ECDH+AES256:DH+AES256:ECDH+AES128:DH+AES:ECDH+3DES:DH+3DES:RSA+AESGCM:RSA+AES:RSA+3DES:!aNULL:!MD5:!DSS
SSLCertificateFile /etc/letsencrypt/live/domain.com/cert.pem
SSLCertificateKeyFile /etc/letsencrypt/live/domain.com/privkey.pem
SSLCertificateChainFile /etc/letsencrypt/live/domain.com/chain.pem
# Keeping bellow for future upgrades.
# Requires Apache >= 2.4
SSLCompression off

6. click save vhost
7. rulati comanda

php -q /etc/sentora/panel/bin/daemon.php

8. acum dam restart la apache

service httpd restart

Acum accesati domeniul vostru si ar trebui sa aiba acel icon verde cu securizat. Daca domeniul vostru ruleaza pe www si voit ati generat pe non www, atunci va arata ca nu este securizat.
Pentru a rezolva problema asta vedeti explicatia de mai sus.
Puteti schimba url de accesa la site din www in non www
1. login in wp admin
2. click pe setari
3. la domeniu, schimbari ambele url cu https si fara www
4. acum ar trebui sa ruleze pe ssl
[/HIDE-POSTS]


Pro:
Esti in rand cu lumea, ca e la moda sa ai ssl acum pe site tau de filme online sau porn. :d
Con:
Tot continutul non ssl de pe site nu se va incarca. Sa spunem ca ai o imagine sau video care este pe un site extern dar nu are ssl, atunci acesta nu va fi afisat pe site. Inca nu stiu o rezolvare generala la aceasta problema si cine stie cum sa posteze mai jos.

Daca nu va pricepeti sa o faceti voi, o pot face eu contra cost. 5$ per certificat, domeniu instalat corect si nu include eventuale probleme de load la continut. Daca ai peste 10 domenii discutam la pret.

 

[Ovidiu Bokar]

In cazul incare aveti probleme la servit http peste https, atunci va recomand urmatoarele:

1. Instalati Memecache/Varnish pe server sau plugin pentru caching in CMS
2. Configurati ca orice external HTTP care are extensie de .js,.css sau orice altceva sa fie cached

Avand local cache, o sa puteti servii linkuril care nu au SSL.

 

[AlexH]

1. Instalati Memecache/Varnish pe server sau plugin pentru caching in CMS

Majoritatea au wordpress sau au cunostinte putin in domeniu pentru a instala si configura asta.

2. Configurati ca orice external HTTP care are extensie de .js,.css sau orice altceva sa fie cached

Cum se face asta? Este un script/code general sau trebuie facut in functie de platforma, site?

 

[Ovidiu Bokar]

@AlexH

sau plugin pentru caching in CMS

Pentru cei cu WP instalati plugin pentru caching si activati in plugin ca totul ce este JS & CSS sa fie cached indiferent the SSL, daca pluginul nu support astfel de configuratii atunci trebuie facute la nivel de server.

 

[Peter Pony]

Ma blochez undeva intre punctul 4 si 5. Cand scriu hostname imi apare panou.domeniulmeu.online
Nu imi apare s1.domeniulmeu.online. Imi apare asa ca am trecut asa can am instalat sentora.
Si dau

service httpd stop
./letsencrypt-auto certonly --standalone -d panou.domeniulmeu.online
service httpd start

si primesc

-bash: ./letsencrypt-auto: No such file or directory

UPDATE: Pe server am 2 domenii si doar pe unu as vrea https
Serverul e centos (7.2) (64BITS) +Sentora

 

[AlexH]

La sentora e nevoie ca panou.domeniu.com sa punteze pe ip, sa faci inregistrare cname. Eu cand am facut asta nu am primit eroare i totul a mers exact ca in tutorialul de mai sus.
Ruleza yum clean all si apoi punctul 2 si vezi daca iti da eroare.

 

[Peter Pony]

Da. Primesc eroarea asta

IMPORTANT NOTES:
 - The following errors were reported by the server:

   Domain: panou.xxxxxxxxxx.online
   Type:   connection
   Detail: DNS problem: NXDOMAIN looking up A for panou.domeniul meu.online

   To fix these errors, please make sure that your domain name was
   entered correctly and the DNS A record(s) for that domain
   contain(s) the right IP address. Additionally, please check that
   your computer has a publicly routable IP address and that no
   firewalls are preventing the server from communicating with the
   client. If you're using the webroot plugin, you should also verify
   that you are serving files from the webroot path you provided.
[root@panou letsencrypt]# service httpd start

Deci trebuie sa creez subdomeniul panou?
Si dupa aia sa setez dns? De la registrar sau tot din sentora?

 

[AlexH]

Din register trebuie sa faci o inregistrare A la panou.episod.online sa duca catre ip. cand accesezi panou.episod.online sa iti apara panoul de logare la sentora.
Sa faci la hostname nu este asa important, cel putin asta e parerea mea, asa ca poti trece la pasul urmatorul pentru domenii.

 

[Peter Pony]

aaa... Pai si asa voiam doar pe un domeniu sa pun. Am ales domeniul. Am facut modificarile din poza atasata
Si mai am o eroare la sfarsit

[root@panou letsencrypt]# service httpd restart
Redirecting to /bin/systemctl restart  httpd.service
Job for httpd.service failed because the control process exited with error code. See "systemctl status httpd.service" and "journalctl -xe" for details.

UPDATE: acum am vazut ca mai trebuia sa modific numele la domeniu undeva. (in inca 2 parti)..
Nu ma pot conecta...

[root@panou letsencrypt]# service httpd restart
Redirecting to /bin/systemctl restart  httpd.service
Job for httpd.service failed because the control process exited with error code.                                                                                         See "systemctl status httpd.service" and "journalctl -xe" for details.
[root@panou letsencrypt]# systemctl status httpd.service
● httpd.service - The Apache HTTP Server
   Loaded: loaded (/usr/lib/systemd/system/httpd.service; enabled; vendor preset                                                                                        : disabled)
   Active: failed (Result: exit-code) since Wed 2017-03-29 14:48:26 CEST; 4min 3                                                                                        9s ago
     Docs: man:httpd(8)
           man:apachectl(8)
  Process: 25222 ExecStop=/bin/kill -WINCH ${MAINPID} (code=exited, status=1/FAI                                                                                        LURE)
  Process: 24507 ExecReload=/usr/sbin/httpd $OPTIONS -k graceful (code=exited, s                                                                                        tatus=1/FAILURE)
  Process: 25220 ExecStart=/usr/sbin/httpd $OPTIONS -DFOREGROUND (code=exited, s                                                                                        tatus=1/FAILURE)
 Main PID: 25220 (code=exited, status=1/FAILURE)

Mar 29 14:48:26 panou.xxxxxxxxxx systemd[1]: Starting The Apache HTTP Ser....
Mar 29 14:48:26 panou.xxxxxxxxxx httpd[25220]: AH00526: Syntax error on li...
Mar 29 14:48:26 panou.xxxxxxxxxx httpd[25220]: SSLCertificateFile: file '/...
Mar 29 14:48:26 panou.xxxxxxxx systemd[1]: httpd.service: main process ...E
Mar 29 14:48:26 panou.xxxxxxxxxxx kill[25222]: kill: cannot find process ""
Mar 29 14:48:26 panou.xxxxxxxxxxx systemd[1]: httpd.service: control proce...1
Mar 29 14:48:26 panou.xxxxxxxxxxx systemd[1]: Failed to start The Apache H....
Mar 29 14:48:26 panou.xxxxxxxxxxxxx systemd[1]: Unit httpd.service entered f....
Mar 29 14:48:26 panou.xxxxxxxxxxxxx systemd[1]: httpd.service failed.
Hint: Some lines were ellipsized, use -l to show in full.

 

[AlexH]

Daca rulezi systemctl status httpd.service si journalctl -xe iti va spune unde este problema.
Am avut odata problema asta si din greseala am sters un fisier din vhost,

 

[Peter Pony]

 

[AlexH]

Dupa o discutie destul de lunga in privat, am gasit problema.
Listen 443 care era trecut in apache/httpd-vhosts.conf si care este deja listen in 00-ssl.conf, asa ca intra in conflict.
Sters lina Listen 443 care este la inceput sub Listen 80 si rezolva problema.

 

[Peter Pony]

Da oare daca domeniul trece prin CLoudflare e vreo problema?

- The following errors were reported by the server:

   Domain: xxxxxxxxxxx.ro
   Type:   tls
   Detail: Failed to connect to 104.28.1.147:443 for TLS-SNI-01
   challenge

 

[AlexH]

Da oare daca domeniul trece prin CLoudflare e vreo problema

In mode normal nu. Daca merge pe normla, ar trebui sa mearga si pe cloudflare. Din eroarea data de tine se pare ca problema este la ip-ul cloudflare si poate fi doar ceva de moment ori ai nevoie de premium.
Cum ai setat ssl, strict sau flexibil?

 

[Peter Pony]

Era flexible si l-am pus off acum