Настройка нового адреса


Чтобы произвести настройку:

  1. Перейдите в НастройкиНастройки панелиАдрес панели.
  2. Нажмите кнопку Добавить и заполните поля формы:

Настройки адреса

  • IP-адрес — укажите IP-адрес, который будет использоваться для приема входящих соединений;
  • Порт — укажите номер порта, который будет использован для приема входящих соединений. Если оставить это поле пустым, будет использовано значение по умолчанию;

    Обратите внимание!

    При изменении порта панель может стать недоступна. Перед изменением откройте в правилах брандмауэра системы порт, который хотите назначить панели.

  • Запретить HTTP соединения — встроенный web-сервер может принимать запросы как по HTTP, так и по HTTPS протоколам. Установите флажок, если хотите запретить HTTP запросы, в этом случае они будут автоматически перенаправляться на HTTPS.

Обратите внимание!

80 порт используется по умолчанию в протоколе http. 443 порт используется по умолчанию в протоколе https. Для запрета HTTP-соединений на 443 порту необходимо настраивать 80 порт. Если включить опцию Запретить HTTP-соединения для 80 порта, то при запросе соединения на 80 порт по HTTP будет осуществляться редирект на 443 порт по HTTPS. При этом соединение на 443 порту по HTTP будет запрещено.

Сертификаты адресов панели


Вы можете добавить SSL-сертификаты для адресов или доменного имени (необходима поддержка Server Name Indication) панели.

SSL-сертификаты для адресов панели необходимы для того, чтобы можно было зайти в панель управления через протокол https используя IP-адрес или доменное имя.

Чтобы добавить новый сертификат необходимо перейти в меню

→ Настройки → раздел Адреса панели Сертификаты нажать кнопку Добавить.

Let’s Encrypt сертификат

Let’s Encrypt – некоммерческий удостоверяющий центр, который предоставляет бесплатные X.509 сертификаты для TLS шифрования с помощью автоматизированного процесса, без обычного сложного процесса ручного создания, проверки, подписи, установки и обновления сертификатов для защищённых доменных имен.

Официальный сайт сервиса: Let’s Encrypt.

Let’s Encrypt имеет основные ограничения:

  • Можно заказать только 5 сертификатов в неделю (TLD, включая его поддомены).
  • Не поддерживаются wildcard сертификаты.
  • Срок действия Let’s Encrypt сертификата 3 месяца (каждые 3 месяца будет выполнятся перевыпуск Let’s Encrypt сертификатов).

Существуют и другие ограничения. Подробнее в документации об ограничениях.

Перед добавлением сертификата Let’s Encrypt нужно убедиться, что доменное имя ведет на существующий IP-адрес панели, так как при добавлении сертификата Let’s Encrypt будет выполнена проверка, что вы являетесь владельцем домена.

При заказе сертификата в директории

/usr/local/mgr5/www/letsencrypt/.well-known/acme-challenge
CODE

создается файл с токеном и данными для проверки. Сервис проверки Let’s Encrypt выполняет запрос по доменному имени и считывает этот токен.

После успешной выдачи сертификата для продления выпущенного сертификата добавляется задание в планировщик, которое будет проверять необходимость продления сертификата:

0 0 * * * "/usr/local/mgr5/etc/scripts/acmesh"/acme.sh --cron --home "/usr/local/mgr5/etc/scripts/acmesh" > /dev/null
CODE

При выпуске нескольких сертификатов для доменных имен третьего уровня и выше может возникнуть ошибка выпуска сертификата на большое количество поддоменов. Данное ограничение Let’s Encrypt позволяет продолжить выдачу сертификатов спустя некоторое время (обычно в пределах суток).

Поддерживается работа совместно с веб-сервером Apache и Nginx. Если никакой веб сервер не запущен, то запускается встроенный сервер, который будет принимать запросы от Let’s Encrypt во время проверки домена.

Существующий сертификат

При добавлении существующего сертификата соответствие домена и IP-адреса не проверяется. В случае не соответствия доменного имени и IP-адреса такой сертификат в списке будет отмечен соответствующего пиктограммой.

  • Тип сертификата — тип сертификата, который необходимо заказать:
    • Let’s Encrypt сертификат;
    • Существующий сертификат.
  • Доменное имя сертификата — доменное имя, для которого будет выпущен сертификат. При использовании существующего сертификата доменное имя будет взято из него;
  • IP-адрес — адрес панели к которому будет привязан сертификат;
  • SSL сертификат — укажите SSL-сертификат, который вы хотите использовать;
  • Ключ SSL сертификата — укажите ключ для вашего SSL-сертификата;
  • Цепочка SSL-сертификатов — укажите цепочку SSL-сертификатов, которая будет добавлена в файл сертификата.

Server Name Indication


Если операционная система поддерживает Server Name Indication существует возможность создать несколько сертификатов на различные доменные имена. При обращении к панели по доменному имени будет использоваться сертификат, соответствующий этому доменному имени.

Server Name Indication поддерживают операционные системы:

  • CentOS с версии 7.
  • Debian с версии 10.
  • Ubuntu с версии 18.04

Поддерживаются сертификаты с альтернативными доменными именами.

Удалить сертификат адреса панели


Для удаления сертификата нажмите кнопку Удалить. После этого выбранный сертификат будет удален. Для IP-адреса будет использоваться самоподписанный сертификат по умолчанию.