Re: [vhffs] support HTTPS

[ Thread Index | Date Index | More vhffs.org/vhffs Archives ]


Salut Sylvain ;

(oui je sais ca fait beaucoup d'emails, je fais pas mal d'infra en ce moment). j'ai quelques merdes avec certaines appli PHP qui ont parfois du mal à s'y retrouver entre HTTPS ou HTTP, port 80 ou 443 ... on a pourtant ajouté les en-tête côté nginx, utilisé le module RPAF sur apache mais c'est un peu la foire selon les cas. quelle solution vous avez utilisé chez tuxfamilly ? si c'est la même, tu peux me copier des extraits de config stp ?

Laurent.

Le 01/03/2016 00:31, Sylvain Rochet a écrit :
Salut Laurent,


On Mon, Feb 29, 2016 at 11:29:32PM +0100, Laurent Stella wrote:
Salut Sylvain ;

à peine croyable ... je viens de terminer les principales features d'une app
PHP qui fait sensiblement la même chose : let's encrypt, nginx en front, en
lien avec VHFFS (mais pas aussi intégré évidement) :
https://github.com/olaulau/VHFFS_letsencrypt
Ah ah ah, comme quoi :-), faut dire que Let's Encrypt ça commence tout
juste à être utilisable, c'était difficile de faire quelque chose avant
pour le support TLS dans VHFFS. J'veux dire, pas besoin de VHFFS pour
gérer des certifs à la main "à l'ancienne", hormis le fait que ce soit
pas possible avec un seul vhost comme on le faisait avec juste Apache
(et que c'est vraiment difficile à ajouter sans se trainer un patch
énorme à porter).

Sur TuxFamily sans un truc comme Let's Encrypt avec l'auto renew
scriptable c'était juste pas pensable, on serait alors devenu un
cimetière de projets morts mais avec en plus des ceriticats expirés.


j'ai pas trop compris la partie "rediriger les demandes d'auth", perso
je lance letsencrypt avec tous les paramètres qui vont bien et ca se
fait en une fois (j'ai pas connu d'erreur à part le rate limiting
effectivement).
C'est parce que tes robots doivent tourner sur la même machine que
l'unique serveur web, c'est pas du tout notre cas :-)

On a un truc qui ressemble à ça au final:

-- LB IPVS/LVS ----------.-----> NGINX --> APACHE2
      |                   |       |   `---------<------------.
(early match SNAT)       |-----> NGINX --> APACHE2          |
      |                   |       |   `---------<------------|
      |                   |-----> NGINX --> APACHE2          |
      |                   |       |   `---------<------------|
      |                   `-----> NGINX --> APACHE2          |
      |                           |   `---------<------------|
      |                           |                          |
      |              (match URL /.well-known/...)            |
      |                           |                          |
      |                           v                          |
      '---------------------> ROBOT Let's Encrypt --> TLS CERT STORE


en tout cas bonne nouvelle si ca arrive sur la prochain version de VHFFS.
y'aurait pas moyen de savoir quelles sont les prochaines nouveautés à venir,
qqpart sur le site ?
C'est la seule grande nouveauté, en fait :-) J'vois pas trop trop ce
qu'on pourrait y faire de plus en restant dans l'esprit du truc.

D'ailleurs, dès que tout est testé pour Jessie et que la bidouille Let's
Encrypt fonctionne, ça va être l'heure de la release.

On est prêt pour les paquets...
    http://download.tuxfamily.org/vhffs4/debian-jessie/
... y'a plus qu'a, comme on dit ;-)

Sylvain




Mail converted by MHonArc 2.6.19+ http://listengine.tuxfamily.org/