Re: [vhffs] support HTTPS

[Laurent Stella <olaulau@xxxxxxxxx>]

Salut Sylvain ;

(oui je sais ca fait beaucoup d'emails, je fais pas mal d'infra en ce 
moment).
j'ai quelques merdes avec certaines appli PHP qui ont parfois du mal à 
s'y retrouver entre HTTPS ou HTTP, port 80 ou 443 ... on a pourtant 
ajouté les en-tête côté nginx, utilisé le module RPAF sur apache mais 
c'est un peu la foire selon les cas.
quelle solution vous avez utilisé chez tuxfamilly ? si c'est la même, tu 
peux me copier des extraits de config stp ?

Laurent.

Le 01/03/2016 00:31, Sylvain Rochet a écrit :
> Salut Laurent,
>
>
> On Mon, Feb 29, 2016 at 11:29:32PM +0100, Laurent Stella wrote:
> > Salut Sylvain ;
> >
> > à peine croyable ... je viens de terminer les principales features d'une app
> > PHP qui fait sensiblement la même chose : let's encrypt, nginx en front, en
> > lien avec VHFFS (mais pas aussi intégré évidement) :
> > https://github.com/olaulau/VHFFS_letsencrypt
> Ah ah ah, comme quoi :-), faut dire que Let's Encrypt ça commence tout
> juste à être utilisable, c'était difficile de faire quelque chose avant
> pour le support TLS dans VHFFS. J'veux dire, pas besoin de VHFFS pour
> gérer des certifs à la main "à l'ancienne", hormis le fait que ce soit
> pas possible avec un seul vhost comme on le faisait avec juste Apache
> (et que c'est vraiment difficile à ajouter sans se trainer un patch
> énorme à porter).
>
> Sur TuxFamily sans un truc comme Let's Encrypt avec l'auto renew
> scriptable c'était juste pas pensable, on serait alors devenu un
> cimetière de projets morts mais avec en plus des ceriticats expirés.
>
>
> > j'ai pas trop compris la partie "rediriger les demandes d'auth", perso
> > je lance letsencrypt avec tous les paramètres qui vont bien et ca se
> > fait en une fois (j'ai pas connu d'erreur à part le rate limiting
> > effectivement).
> C'est parce que tes robots doivent tourner sur la même machine que
> l'unique serveur web, c'est pas du tout notre cas :-)
>
> On a un truc qui ressemble à ça au final:
>
> -- LB IPVS/LVS ----------.-----> NGINX --> APACHE2
>       |                   |       |   `---------<------------.
> (early match SNAT)       |-----> NGINX --> APACHE2          |
>       |                   |       |   `---------<------------|
>       |                   |-----> NGINX --> APACHE2          |
>       |                   |       |   `---------<------------|
>       |                   `-----> NGINX --> APACHE2          |
>       |                           |   `---------<------------|
>       |                           |                          |
>       |              (match URL /.well-known/...)            |
>       |                           |                          |
>       |                           v                          |
>       '---------------------> ROBOT Let's Encrypt --> TLS CERT STORE
>
>
> > en tout cas bonne nouvelle si ca arrive sur la prochain version de VHFFS.
> > y'aurait pas moyen de savoir quelles sont les prochaines nouveautés à venir,
> > qqpart sur le site ?
> C'est la seule grande nouveauté, en fait :-) J'vois pas trop trop ce
> qu'on pourrait y faire de plus en restant dans l'esprit du truc.
>
> D'ailleurs, dès que tout est testé pour Jessie et que la bidouille Let's
> Encrypt fonctionne, ça va être l'heure de la release.
>
> On est prêt pour les paquets...
>     http://download.tuxfamily.org/vhffs4/debian-jessie/
> ... y'a plus qu'a, comme on dit ;-)
>
> Sylvain