Помогите с HTTPS на ApacheГраждане не традиционной ориентации, прошу вашей помощи. / developers :: пидоры помогите (реактор помоги) :: web :: hosting :: Pem :: https :: virtual host :: что то пошло не так

Помогите с HTTPS на Apache

Граждане не традиционной ориентации, прошу вашей помощи.

У знакомого моего знакомого случилась проблема с хостингом на котором крутятся дофига сайтов. Он использовал панельку управления сайтами испманагер, но из-за финансовых проблем не стал ее продлевать, соответственно отвалилось автопродление сертификатов для HTTPS. Остальное на первый взгляд вроде работает.

Подключившись к серверу, я как неопытный пидор, получил сертификаты не традиционным способом, вот так:

sudo certbot certonly --manual --preferred-challenges dns --debug-challenges -d сайт.com -d www.сайт.com
sudo certbot --apache -d сайт.com -d www.сайт.com

в днс внес ключи acme.

Все работало пару дней, пока не стал замечать что для нескольких сайтов браузер начал выдавать такую ошибку:
Ваше подключение не защищено
Злоумышленники могут пытаться похитить ваши данные с сайта сайт.com (например, пароли, сообщения или номера банковских карт). Подробнее…
NET::ERR_CERT_COMMON_NAME_INVALID
Subject: сайт_номер9.com
Issuer: R3

По данному коду в инете много предположений. Нем могу понять что случилось.
Получил повторно сертификат но ошибка не пропадает. Такое впечатление что Апач как то закешировал ключ для сайт_номер9.com и выдает его каждый раз. Причем в файлах для виртуальных хостов (/etc/apache2/vhosts) правильно прописаны пути к сертификатам /etc/letsencrypt/live, в директории символьные ссылки на реальные файлы *.pem в /etc/letsencrypt/archive

Еще заметил что список сайтов для которых используется не правильный сертификат иногда меняется, т.е. сейчас ошибка для сайта сайт.com, через пару часов это будете для сайта сайт2.com. Есть только один сайт для которого такая ошибка постоянная, его имя в формате 1ххххх.com и совпадает с именем сервера.

Подробнее
что то пошло не так,virtual host,https,Pem,hosting,пидоры помогите,реактор помоги,web,developers

Еще на тему

пидоры помогите(7106)

Развернуть

Комментарии 3601.03.202411:44ссылка-1.7

Апач то перезапускал после изменения конфигурации? Он из только при запуске читает

mozillla01.03.202411:56ответить ссылка 7.8

Конечно, я пару дней уже мучаюсь, и сервер перезапускал и апач каждый раз как обновляю или получаю новые сертификаты

xara01.03.202411:58ответить ссылка ↑ 0.9

Проверь, чтобы разные сайты через символьные ссылки не ссылались на одни и теже файлы сертификатов

mozillla01.03.202411:57ответить ссылка 1.2

я это проверял и пересоздавал для тех сайтов у которых есть проблемы с сертификатами. они кстати были, но после пересоздания символьных ссылок ничего не изменилось

xara01.03.202411:59ответить ссылка ↑ 0.9

а как символьные ссылки могут пересоздаваться на левый ключ? при получении нового сертификата для сайта по идее она должна переписываться на новый ключ, а не на ключ другого сайта

xara01.03.202412:02ответить ссылка ↑ 0.9

Скорее проблема в том, что открытый ключ сервера R3 не добавлен в chain или fullchain
https://letsencrypt.org/certificates/ - сертификат бери отсюда.
потом перезапускай apache

IGRYN01.03.202412:04ответить ссылка 0.9

не надо ниоткуда ничего качать. там в папочке лайв есть все необходимые сертификаты, включая чейн и фуллсейн
SSLCertificateFile /etc/letsencrypt/live/[dir]/cert.pem
SSLCertificateKeyFile /etc/letsencrypt/live/[dir]/privkey.pem
SSLCertificateChainFile /etc/letsencrypt/live/[dir]/chain.pem

Чупакабра01.03.202412:14ответить ссылка ↑ 1.4

так и есть, еще и fullcain.pem

xara01.03.202412:17ответить ссылка ↑ 0.9

Как человек, не разбирающийся в настройке Апача, я бы тупо бахнул что-то вроде такого:
for FILE in `find / -iname '*.pem'` ; do openssl x509 -text -in ${FILE} | grep "сайт_номер9"| echo "${FILE} is wrong" ; done
Может, что-то переврал, но идею, надеюсь, донёс.

Hauptmarschall01.03.202412:22ответить ссылка 0.3

между клиентом и индейцем есть промежуточный хост с каким-нибудь nginx или подобной херней?

Чупакабра01.03.202412:23ответить ссылка 0.5

netstat -napt

Чупакабра01.03.202412:24ответить ссылка ↑ 0.3

Active Internet connections (servers and established) Proto Recv-Q Send-Q Local Address Foreign А tcp 0 0 :53 0.0.0.0:* tcp 0 0 :53 0.0.0.0:* tcp 0 0 :53 0.0.0.0:* tcp 0 0 :953 0.0.0.0:* tcp 0 0 : 33060 0.0.0.0:* tcp 0 0 : 1577 0.0.0.0:* tcp 0 0 : 3306 0.0.0.0:* tcp 0 о о о о о

xara01.03.202412:38ответить ссылка ↑ 0.0

Для начала проверь что за сертификат получает браузер, когда выдает ошибку. В адресной строке слева от адреса можно посмотреть инфу

h8myself01.03.202413:20ответить ссылка 0.9

Общие Подробнее Кому выдан Общее имя (СN) Организация (О) Подразделение (OU) <Не является частью сертификата> <Не является частью сертификата> Кем выдан Общее имя (СN) R3 Организация (О) Let's Encrypt Подразделение (OU) <Не является частью сертификата> Срок действия Дата выдачи среда, 21

xara01.03.202413:29ответить ссылка ↑ 0.0

но сайт который я открываю 1ххххх.com

xara01.03.202413:30ответить ссылка ↑ 0.0

А проверь ip адрес, какой получаешь из днс - бывает, что указано две A-записи для домена, и они выдаются 50/50.
Браузер кеширует днс запросы, поэтому, если получил правильную запись, то дальше сайт будет работать в этом браузере

mozillla01.03.202413:37ответить ссылка ↑ 0.0

ДНС на хезнере, там во всех записях А и АААА для домена 1ххххх.com и его поддоменов выставлены одинаковые адреса, записи не повторяются, других адресов нет

xara01.03.202413:49ответить ссылка ↑ 0.0

похоже что это какой то прикол с апачем и https, он же по умолчанию не рубит https. может он берет первый попавшийся сертификат по имени из списка отсортированного по имени? этот сертификат судя по всему самый первый в таком списке.

xara01.03.202413:58ответить ссылка ↑ 0.0

2ip.io возвращает правильное IP сервера

xara01.03.202413:56ответить ссылка ↑ 0.0

Попробуй потушить апач на новом хостинге и посмотреть, будет ли продолжать отвечать сайт

h8myself01.03.202414:23ответить ссылка ↑ 0.3

Не удаётся получить доступ к сайту

Все сайты не доступны

xara01.03.202414:35ответить ссылка ↑ 0.0

После выключения и включения один из сайтов у которого была проблема с сертификатом заработал. Теперь тянет правильный сертификат

xara01.03.202414:38ответить ссылка ↑ 0.0

Покажи конфиги апача

h8myself01.03.202415:43ответить ссылка ↑ 0.0

Именно виртуальных хостов

h8myself01.03.202415:44ответить ссылка ↑ 0.0

проверяешь с одного и того же места? что браузер за серт видит?

kopinus01.03.202413:41ответить ссылка 0.3

проверял на разных браузерах, в режимах инкогнито, на мобильном тоже и даже на разных инетпровайдерах

xara01.03.202413:47ответить ссылка ↑ 0.0

так же на разных компьютерах, уже через впн даже пробовал

xara01.03.202413:48ответить ссылка ↑ 0.0

сумасшедшая идея...
старый хостинг еще жив?
посмотри dns-сервера...
возможно вторичный сервер не обновляется. и рандомно клиентов отсылают на старый хостинг, а там, возможно, отозванные сертификаты

Чупакабра01.03.202414:02ответить ссылка 0.3

nslookup
> server ns1.domain.com
> www.doamin.com
> server ns2.domain.com
> www.doamin.com

Чупакабра01.03.202414:03ответить ссылка ↑ 0.3

про старый хостинг ничего не знаю, хозяин тоже ничего сказать не может)

> 1 .com .2 . 2#53 Non-authoritative answer: Name: 1 .com Address: 135. 7.22 Name: 1 .com Address: 2a01: Server: 185. Address: 185. :da5f :: 1

xara01.03.202414:16ответить ссылка ↑ 0.0

записи на основном и вторичном DNS-серверах доменов совпадают?

Чупакабра01.03.202415:22ответить ссылка ↑ 0.0

выпытал у хозяина. был раньше днс на vdsina, для сайта, ключи которого используются, потом перенесли записи на хезнер, но в предыдущем днс не удалили записи. сейчас удалил записи. там наверное нужно время чтоб это все применилось. но пока результата я не вижу

xara01.03.202415:59ответить ссылка ↑ 0.0

судя по всему не помогло

xara01.03.202417:07ответить ссылка ↑ 0.0

ls -l /etc/letsencrypt/live/1xxxx.com/cert.pem
>lrwxrwxrwx 1 root root 48 Feb 29 16:58 /etc/letsencrypt/live/1xxxx.com/cert.pem -> /etc/letsencrypt/archive/1xxxx.com/cert2.pem
openssl x509 -in /etc/letsencrypt/live/1xxxx.com/cert.pem -noout -subject
>subject=CN = 1xxxx.com

xara01.03.202418:10ответить ссылка 0.6

а где купон? https://habr.com/ru/articles/796351/

mm3301.03.202421:27ответить ссылка 0.0

ИСПОЛЬЗОВАТЬ ТОЛЬКО В СЛУЧАЕ КРАЙНЕЙ НЕОБХОДИМОСТИ

xara01.03.202423:09ответить ссылка ↑ 0.0

Только зарегистрированные и активированные пользователи могут добавлять комментарии.

Похожие темы

Epic

Skyrim

it-юмор

web

https

jam

developers

qa

что-то пошло не так

Pem

virtual host

hosting

Фендомы

всё плохо

DC Comics

Anime

Тренды

Fallout

приколы для полных дегенератов

Дрочибельные мемы

Похожие посты

подробнее»

ИСПОЛЬЗОВАТЬ ТОЛЬКО В СЛУЧАЕ КРАЙНЕЙ НЕОБХОДИМОСТИ Ж

подробнее»

$£? Управление компьютером Файл Действие Вид Справка I а ш в ш г X л t & Управление компьюте ^ й Служебные програ\ > © Планировщик за; > Щ Просмотр собып- > Общие папки > >• Локальные польз > ® Производительн( Л Диспетчер устро! ^ Й Запоминающие уст| >Т Управление диск. > ¡¡¡» Службы и п$

подробнее»

	Cirno
	So-Bin
	Drawfag
	Koul
	Ayakumo