LINUX.ORG.RU
ФорумGeneral

Подскажите, хватит ли одного сертификата для сайта?

 


0

1

Здравствуйте, коллеги!

Вопрос продиктован всей глубиной незнания данного вопроса :)

Ситуация следующая: есть доменное имя 3го уровня, типа cloud.mysite.com. Там, за nat, крутится nextcloud и onlyoffice lxc контейнеры. Два отдельных контейнера!

В контейнере nextcloud установлен NGINX, на который с главного сервера идет проброс 80 и 443 портов.

Но для работы связки nextcloud & onlyoffice клиент должен иметь https доступ к onlyoffice.

На данный момент я решил эту проблемму следующим образом: сделал проброс еще одного порта 4043->443 на контейнер с onlyoffice, что и указал в настройках nextcloud.

Теперь выйти на onlyoffice можно по https://cloud.mysite.com:4043

Для onlyoffice и nextcloud выпустил самоподписные сертификаты и…

Это меня перестало устраивать.

Как минимум: новый юзверь должен сначала стукнуться на https://cloud.mysite.com:4043 что бы заставить браузер понимать самоподписной сертификат, потом, то же самое проделать на https://cloud.mysite.com.

Не удобно! Хочу нормальный(ые) сертификат(ы).

И вот тут вопрос: хватит ли одного сертификата на доменное имя cloud.mysite.com для работы еще и onlyoffice? Они же висят на одном доменном имени, просто на разных портах.

Собственно, в этом вопрос и заключается.

PS. Возможно я что-то недопонял в настройках nextcloud & onlyoffice и можно как-то совсем закрыть прямой доступ из интернет на onlyoffice?


Как сделать так чтоб звук из firefox кидался в микрофон, в ubuntu 22.04
Не загружается графическая оболочка
Ответ на: комментарий от shell-script

Сертификат привязывается к доменному имени и не зависит от порта, так что да, одного хватит.

Спасибо!

А Вы не знаете, можно ли, вообще, закрыть прямой доступ к onlyoffice из интернет?

Вроде, когда я использовал ту же связку но в docker, мне не пришлось docker onlyoffice делать доступным из интернет.

HighMan
() автор топика
Ответ на: комментарий от HighMan

Нет, это же js. Т.е. соединение идет от браузера клиента к офису. Другое дело, что надо прикручивать авторизацию, чтобы твоим сервером весь интернет не пользовался. Ну а за использование веб сервисов на нестандартных портах - убиват. Сделай 2 сертификата или один wildcard.

Anoxemian ★★★★★
()

за nat, nextcloud nextcloud и onlyoffice lxc контейнеры

Вариант:

  • делаешь ещё одно доменное имя третьего уровня office.mysite.com
  • ставишь nginx как реверс прокси для обоих сайтов
  • выпускаешь certbot’ом либо два отдельных сертификата, либо если есть доступ записям доменных имён то один вилдкарт сертификат для *.mysite.com, mysite.com

Или вариант с traefik, там может быть будет проще, если разобраться с сетевыми делами.

vvn_black ★★★★★
()
Ответ на: комментарий от Anoxemian

Ну а за использование веб сервисов на нестандартных портах - убиват. Сделай 2 сертификата или один wildcard.

Хм… Возможно за использование нестандартных портов для общедоступного web сервиса и стоило бы вынести порицание, но я, как раз, хочу оградить onlyoffice от интернет!

В идеале, onlyoffice могут использовать использовать лишь пользователи nextcloud. В любом случае, юзвери даже не видят порт в адресной строке браузера, когда открывают через nextcloud открывают документ на редактирование в onlyoffice.

HighMan
() автор топика
Ответ на: комментарий от ddidwyll

Попробуй traefik, вместе с docker-compose сертификаты прикручиваются одной строчкой.

Я ненавижу docker.

Был вынужден его, очень ограниченно, использовать на старом сервере, но сейчас все установил сам в lxc контейнерах.

Вот от lxc я в телячьем восторге!

Изумительно удобная штука.

HighMan
() автор топика
Ответ на: комментарий от HighMan

хочу оградить onlyoffice от интернет!

Не выйдет, только проверять авторизацию.

По хорошему nginx должен выступать в качестве reverse-proxy и не придется использовать нестандартные порты.

altwazar ★★★★★
()
Ответ на: комментарий от HighMan

мне не пришлось docker onlyoffice делать доступным из интернет.

Там поди был nginx в качестве реверс прокси, через который доступны и офис и некстклауд.

altwazar ★★★★★
()
Последнее исправление: altwazar (всего исправлений: 1)
Ответ на: комментарий от altwazar

Не выйдет, только проверять авторизацию.

Я, хоть убей, не представляю как сделать авторизацию в onlyoffice.

Да и как это скажется для пользователей при попытке редактировать документ из nextcloud?

Можно, конечно, извратиться и присобачить авторизацию по сертификату в nginx, но это окажется страшно неудобно. Пропадает основной плюс данного решения: доступ из любого места с любого устройства, на котором есть браузер.

Но, мне так и не ответили, чем плох способ доступа через одно доменное имя, просто на нестандартный порт для onlyoffice, как это реализовано у меня сейчас?

Для пользователя все эти извращения все равно не видны. Ему ни чего не нужно у себя настраивать. Все настройки сделаны в nextcloud и пользователей они ни как не касаются.

HighMan
() автор топика
Последнее исправление: HighMan (всего исправлений: 2)
Ответ на: комментарий от HighMan

Для пользователя все эти извращения все равно не видны.

Пока браузер не пожалуется на нестандартный порт и не заблокирует соединение. А преимуществ это не дает. Домен с реверс прокси можно использовать один.

Я, хоть убей, не представляю как сделать авторизацию в onlyoffice.

Не знаком с интеграцией онлиофиса. Если всё как ты говоришь (у клиента должен быть доступ до самого онлиофиса, доступа к нему с некстклауда недостаточно), то нужно разбираться с авторизацией в самом онлиофисе. Можно еще повесить логин/пасс на nginx, но это уже извращение.

altwazar ★★★★★
()
Как сделать так чтоб звук из firefox кидался в микрофон, в ubuntu 22.04
General
Не загружается графическая оболочка