-
nginx multisite + ssl
Bonjour,
J'ai un serveur surle quel il y a openerp7 et nginx avec 2 sites qui roulent avec django en mode multisite,je voudrai savoir s'il est possible de mettre un certificat ssl pour openerp ainsi que pour les sites.
si c'est possible ,est ce que je dois mettre aussi un certificat pour chaque site ou un seul pour tous et un autre pour openerp.
quelle configuration a faire sur nginx ?
Merci d'avance pour votre aide
-
-
Bonjour,
Tu peux utiliser le même certificat pour tous tes sites si tu veux, ou bien en passant par les subject alt name des certificats ou bien en mettant un certificat wildcard.
Concernant la configuration NGINX, donne plus de détails stp comme l'IP de tes sites et leur nom de domaine.
-
bonjour,merci pour votre reponse,
je suis en train de tester 3 sites ( openerp7.fr - site2.fr - site3.fr)
j'ai créé un dossier ssl dans /etc/nginx/ et j'y ai crée un dossier relatif a chaque site, pour y mettre les fichier .crt et .key
j'ai aussi suivi ce tuto pour la configurtaion nginx -> https://www.linode.com/docs/web-serv...s-connections/
mon but a la fin est de rediriger tout le traffic en https et forcer le http aussi vers https.
il y a une seule ip pour mon serveur ,on va dire x.x.x.x ,ou tout est hebergé
mon soucis deja est que je tombe sur la page d'acceuil nginx a chaque fois que je chere a me connecter en https pour chaque site.
l'acces html reste fonctionnel malgré que je l'ai redirgié vers http (rewrite ^/.*$ https://$host$request_uri? permanent; )
j'espere que j'ai bien expliqué et merci d'avance pour votre aide
-
Utilise plutôt return 301 https://$server_name$request_uri; pour la redirection HTTPS plutôt qu'un rewrite je pense.
Ensuite met ta configuration NGINX ici histoire de voir ce que ça donne (voir notamment les proxy_pass).
-
bonjour,désolé pour ma réponse tardive,j'étais pas la les derniers jour.
voici la plus simple config que j'ai essayé dans sites-available dans nginx
upstream monsite {
server 127.0.0.1:8000;
}
# http -> https
server {
listen 80;
server_name monsite.com;
rewrite ^(.*) https://$host$1 permanent;
}
server {
listen 443;
server_name monsite.com;
proxy_read_timeout 720s;
proxy_connect_timeout 720s;
proxy_send_timeout 720s;
# Add Headers
proxy_set_header X-Forwarded-Host $host;
proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
proxy_set_header X-Forwarded-Proto $scheme;
proxy_set_header X-Real-IP $remote_addr;
# SSL parameters
ssl on;
ssl_certificate /etc/etc/nginx/ssl/server.crt;
ssl_certificate_key /etc/nginx/ssl/cerver.key;
ssl_session_timeout 30m;
ssl_protocols TLSv1 TLSv1.1 TLSv1.2;
ssl_ciphers 'ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:DHE-DSS-AES128-GCM-SHA256:kEDH+AESGCM:ECDHE-RSA-AES128-SHA256:ECDHE-ECDSA-AES128-SHA256:ECDHE-RSA-AES128-SHA:ECDHE-ECDSA-AES128-SHA:ECDHE-RSA-AES256-SHA384:ECDHE-ECDSA-AES256-SHA384:ECDHE-RSA-AES256-SHA:ECDHE-ECDSA-AES256-SHA:DHE-RSA-AES128-SHA256:DHE-RSA-AES128-SHA:DHE-DSS-AES128-SHA256:DHE-RSA-AES256-SHA256:DHE-DSS-AES256-SHA:DHE-RSA-AES256-SHA:AES128-GCM-SHA256:AES256-GCM-SHA384:AES128-SHA256:AES256-SHA256:AES128-SHA:AES256-SHA:AES:CAMELLIA:DES-CBC3-SHA:!aNULL:!eNULL:!EXPORT:!DES:!RC4:!MD5:!PSK:!aECDH:!EDH-DSS-DES-CBC3-SHA:!EDH-RSA-DES-CBC3-SHA:!KRB5-DES-CBC3-SHA';
ssl_prefer_server_ciphers on;
location /static {
alias /var/www/monsite.com/sitestatic-test08;
expires max;
}
location /media {
alias /var/www/monsite.com/media;
expires max;
}
location / {
proxy_pass http://monsite;
}
}
-
Bonjour,
N'oublie pas de mettre un lien symbolique dans sites-enabled, puisque c'est surement ce dernier qui est inclus dans la conf et non sites-available.
Petit conseil évite TLS1.0 et 1.1 et tu autorise des ciphers vraiment obsolètes, mais bon à ce stade c'est du détail.
Je ne vois qu'un seul serveur virtuel à savoir monsite.com, et je ne sais pas cette manie sur internet de ne mettre qu'un seul serveur dans upstream ça ne sert strictement à rien.
Voila écoute si tu as des questions maintenant que j'ai ta configuration sous les yeux n'hésite pas.