Открыть порт 443 (SSL) в Debian 10

manul_87 · 16 ноября 2023, 17:30:02

Добрый день.

При настройке платного SSL на сервере возникла проблема: настройки Apache выполнены правильно, ключи и пути к ним указаны верно. Но в итоге сайт по https не работает.

Как я понял, проблема скорее всего в том, что порт 443 закрыт на сервере, т.к. команда netstat -lptu 443-й порт не выдает:

Код Выделить

Active Internet connections (only servers)
Proto Recv-Q Send-Q Local Address           Foreign Address         State       PID/Program name
tcp        0      0 localhost:mysql         0.0.0.0:*               LISTEN      741/mysqld
tcp        0      0 0.0.0.0:pop3            0.0.0.0:*               LISTEN      617/dovecot
tcp        0      0 0.0.0.0:imap2           0.0.0.0:*               LISTEN      617/dovecot
tcp        0      0 d3545.colo.hc.ru:domain 0.0.0.0:*               LISTEN      660/named
tcp        0      0 localhost:domain        0.0.0.0:*               LISTEN      660/named
tcp        0      0 0.0.0.0:ssh             0.0.0.0:*               LISTEN      691/sshd
tcp        0      0 0.0.0.0:smtp            0.0.0.0:*               LISTEN      946/master
tcp        0      0 localhost:953           0.0.0.0:*               LISTEN      660/named
tcp        0      0 d3545.colo.hc.ru:1500   0.0.0.0:*               LISTEN      805/ihttpd
tcp        0      0 0.0.0.0:imaps           0.0.0.0:*               LISTEN      617/dovecot
tcp        0      0 0.0.0.0:pop3s           0.0.0.0:*               LISTEN      617/dovecot
tcp6       0      0 [::]:http               [::]:*                  LISTEN      974/apache2
tcp6       0      0 [::]:ftp                [::]:*                  LISTEN      973/proftpd: (accep
tcp6       0      0 [::]:domain             [::]:*                  LISTEN      660/named
tcp6       0      0 [::]:smtp               [::]:*                  LISTEN      946/master
tcp6       0      0 localhost:953           [::]:*                  LISTEN      660/named
udp        0      0 d3545.colo.hc.ru:domain 0.0.0.0:*                           660/named
udp        0      0 localhost:domain        0.0.0.0:*                           660/named
udp        0      0 d3545.colo.hc.ru:ntp    0.0.0.0:*                           687/ntpd
udp        0      0 localhost:ntp           0.0.0.0:*                           687/ntpd
udp        0      0 0.0.0.0:ntp             0.0.0.0:*                           687/ntpd
udp6       0      0 [::]:domain             [::]:*                              660/named
udp6       0      0 fe80::225:90ff:fea4:ntp [::]:*                              687/ntpd
udp6       0      0 localhost:ntp           [::]:*                              687/ntpd
udp6       0      0 [::]:ntp                [::]:*                              687/ntpd

Подскажите, пожалуйста, как можно открыть порт? Файервола ufw на данный момент на сервере нет, его установка и попытка открыть порт через него - ничего не решает.
Возможно порт закрыт каким-то другим файерволом, но как его найти и открыть порт?

ogost · 17 ноября 2023, 04:06:55

443 у вас не закрыт, этот порт просто никто не слушает. Апач настроен неправильно.

manul_87 · 17 ноября 2023, 11:40:52

А в чем может быть ошибка? Все настроено согласно инструкции.

apachectl -M | grep ssl выдает: ssl_module (shared)

apachectl configtest - выдает: Syntax OK

В конфиг с хостами добавил для нужного домена:

Код Выделить

<VirtualHost [ip_моего_сервера]:443>

        ServerName [имя_домена]
        ServerAlias www.[имя_домена]
        DocumentRoot /var/www/manul/data/www/[папка_сайта]

SSLEngine on
SSLCertificateFile /var/www/manul/data/www/[папка_сайта]/ssl/[имя_домена].crt
SSLCertificateKeyFile /var/www/manul/data/www/[папка_сайта]/ssl/private.key
SSLCertificateChainFile /var/www/manul/data/www/[папка_сайта]/ssl/chain.crt


        ServerAdmin [e-mail_администратора]
        DirectoryIndex index.php index.html
        AddDefaultCharset off
        AssignUserID www-root www-root
</VirtualHost>

После чего вебсервер был перезапущен командой apachectl restart

Версия Apache 2.4

ogost · 17 ноября 2023, 12:10:27

Посмотрите что лежит в директориях /etc/apache2/sites-enabled и sites-available. (точный путь не помню, нет апача под рукой)
UPD:
В дебиан есть команды что-то вроде a2ensite и a2dissite (или в таком духе). Идея в том, чтобы настраивать каждый сайт в отдельных файлах в sites-available, и применять их конфиги через симлинки в sites-enabled. команды a2ensite и a2dissite создают и удаляют нужные симлинки, которые потом добавляются в конфиг апача через директиву include (или import, опять же не помню точно).
Надеюсь смог доступно объяснить

ChubaDuba · 17 ноября 2023, 12:59:38

Цитата: manul_87 от 16 ноября 2023, 17:30:02Возможно порт закрыт каким-то другим файерволом, но как его найти и открыть порт?

У провайдера своего спрашивали?

manul_87 · 17 ноября 2023, 13:00:48

Провайдер тут не причем. Из разных мест не работает. И мобильного интернета в том числе.

17 ноября 2023, 14:18:59

Цитата: ogost от 17 ноября 2023, 12:10:27Посмотрите что лежит в директориях /etc/apache2/sites-enabled и sites-available. (точный путь не помню, нет апача под рукой)
UPD:
В дебиан есть команды что-то вроде a2ensite и a2dissite (или в таком духе). Идея в том, чтобы настраивать каждый сайт в отдельных файлах в sites-available, и применять их конфиги через симлинки в sites-enabled. команды a2ensite и a2dissite создают и удаляют нужные симлинки, которые потом добавляются в конфиг апача через директиву include (или import, опять же не помню точно).
Надеюсь смог доступно объяснить

В /etc/apache2/sites-available лежат 2 файла: 000-default.conf и default-ssl.conf

Содержимое 000-default.conf не интересно, т.к. там указан порт 80

Содержимое default-ssl.conf

Код Выделить

            <IfModule mod_ssl.c>
        <VirtualHost *:443>
                ServerAdmin webmaster@localhost

                DocumentRoot /var/www/html

                # Available loglevels: trace8, ..., trace1, debug, info, notice, warn,
                # error, crit, alert, emerg.
                # It is also possible to configure the loglevel for particular
                # modules, e.g.
                #LogLevel info ssl:warn

                ErrorLog ${APACHE_LOG_DIR}/error.log
                CustomLog ${APACHE_LOG_DIR}/access.log combined

                # For most configuration files from conf-available/, which are
                # enabled or disabled at a global level, it is possible to
                # include a line for only one particular virtual host. For example the
                # following line enables the CGI configuration for this host only
                # after it has been globally disabled with "a2disconf".
                #Include conf-available/serve-cgi-bin.conf

                #   SSL Engine Switch:
                #   Enable/Disable SSL for this virtual host.
                SSLEngine on

                #   A self-signed (snakeoil) certificate can be created by installing
                #   the ssl-cert package. See

                #   /usr/share/doc/apache2/README.Debian.gz for more info.
                #   If both key and certificate are stored in the same file, only the
                #   SSLCertificateFile directive is needed.
                SSLCertificateFile      /etc/ssl/certs/ssl-cert-snakeoil.pem
                SSLCertificateKeyFile /etc/ssl/private/ssl-cert-snakeoil.key

                #   Server Certificate Chain:
                #   Point SSLCertificateChainFile at a file containing the
                #   concatenation of PEM encoded CA certificates which form the
                #   certificate chain for the server certificate. Alternatively
                #   the referenced file can be the same as SSLCertificateFile
                #   when the CA certificates are directly appended to the server
                #   certificate for convinience.
                #SSLCertificateChainFile /etc/apache2/ssl.crt/server-ca.crt

                #   Certificate Authority (CA):
                #   Set the CA certificate verification path where to find CA
                #   certificates for client authentication or alternatively one
                #   huge file containing all of them (file must be PEM encoded)
                #   Note: Inside SSLCACertificatePath you need hash symlinks
                #                to point to the certificate files. Use the provided
                #                Makefile to update the hash symlinks after changes.
                #SSLCACertificatePath /etc/ssl/certs/
                #SSLCACertificateFile /etc/apache2/ssl.crt/ca-bundle.crt

                #   Certificate Revocation Lists (CRL):
                #   Set the CA revocation path where to find CA CRLs for client
                #   authentication or alternatively one huge file containing all
                #   of them (file must be PEM encoded)
                #   Note: Inside SSLCARevocationPath you need hash symlinks
                #                to point to the certificate files. Use the provided
   
                #Makefile to update the hash symlinks after changes.
                #SSLCARevocationPath /etc/apache2/ssl.crl/
                #SSLCARevocationFile /etc/apache2/ssl.crl/ca-bundle.crl

                #   Client Authentication (Type):
                #   Client certificate verification type and depth.  Types are
                #   none, optional, require and optional_no_ca.  Depth is a
                #   number which specifies how deeply to verify the certificate
                #   issuer chain before deciding the certificate is not valid.
                #SSLVerifyClient require
                #SSLVerifyDepth  10

                #   SSL Engine Options:
                #   Set various options for the SSL engine.
                #   o FakeBasicAuth:
                #        Translate the client X.509 into a Basic Authorisation.  This means that
                #        the standard Auth/DBMAuth methods can be used for access control.  The
                #        user name is the `one line' version of the client's X.509 certificate.
                #        Note that no password is obtained from the user. Every entry in the user
                #        file needs this password: `xxj31ZMTZzkVA'.
                #   o ExportCertData:
                #        This exports two additional environment variables: SSL_CLIENT_CERT and
                #        SSL_SERVER_CERT. These contain the PEM-encoded certificates of the
                #        server (always existing) and the client (only existing when client
                #        authentication is used). This can be used to import the certificates
                #        into CGI scripts.
                #   o StdEnvVars:
                #        This exports the standard SSL/TLS related `SSL_*' environment variables.
                #        Per default this exportation is switched off for performance reasons,
                #        because the extraction step is an expensive operation and is usually
                #        useless for serving static content. So one usually enables the
                #        exportation for CGI and SSI requests only.
                #   o OptRenegotiate:
                #        This enables optimized SSL connection renegotiation handling when SSL
                #        directives are used in per-directory context.
                #SSLOptions +FakeBasicAuth +ExportCertData +StrictRequire


<FilesMatch "\.(cgi|shtml|phtml|php)$">
                                SSLOptions +StdEnvVars
                </FilesMatch>
                <Directory /usr/lib/cgi-bin>
                                SSLOptions +StdEnvVars
                </Directory>

                #   SSL Protocol Adjustments:
                #   The safe and default but still SSL/TLS standard compliant shutdown
                #   approach is that mod_ssl sends the close notify alert but doesn't wait for
                #   the close notify alert from client. When you need a different shutdown
                #   approach you can use one of the following variables:
                #   o ssl-unclean-shutdown:
                #        This forces an unclean shutdown when the connection is closed, i.e. no
                #        SSL close notify alert is send or allowed to received.  This violates
                #        the SSL/TLS standard but is needed for some brain-dead browsers. Use
                #        this when you receive I/O errors because of the standard approach where
                #        mod_ssl sends the close notify alert.
                #   o ssl-accurate-shutdown:
                #        This forces an accurate shutdown when the connection is closed, i.e. a
                #        SSL close notify alert is send and mod_ssl waits for the close notify
                #        alert of the client. This is 100% SSL/TLS standard compliant, but in
                #        practice often causes hanging connections with brain-dead browsers. Use
                #        this only for browsers where you know that their SSL implementation
                #        works correctly.
                #   Notice: Most problems of broken clients are also related to the HTTP
                #   keep-alive facility, so you usually additionally want to disable
                #   keep-alive for those clients, too. Use variable "nokeepalive" for this.
                #   Similarly, one has to force some clients to use HTTP/1.0 to workaround
                #   their broken HTTP/1.1 implementation. Use variables "downgrade-1.0" and
                #   "force-response-1.0" for this.
                # BrowserMatch "MSIE [2-6]" \
                #               nokeepalive ssl-unclean-shutdown \
                #               downgrade-1.0 force-response-1.0

        </VirtualHost>
</IfModule>

# vim: syntax=apache ts=4 sw=4 sts=4 sr noet

А в папке /etc/apache2/sites-enabled лежит только 000-default.conf

Файлы с названиями доменов, где указаны виртуальные хосты для каждого домена - лежат в папке: /etc/apache2/vhosts
В одном из этих файлов для нужного домена я и добавлял виртуальный хост для ssl с 443 портом.
Еще есть папка /etc/apache2/vhosts-php которая также содержит файлы с названиями доменов, но файлы эти почему-то пустые.

ogost · 17 ноября 2023, 14:26:32

Цитата: manul_87 от 17 ноября 2023, 13:00:48А в папке /etc/apache2/sites-enabled лежит только 000-default.conf

Это симлинк на /etc/apache2/sites-available/000-default.conf.
Поэтому у вас апач только 80 порт и слушает. Перенесите настроки вашего vhost в /etc/apache2/sites-available/moi_krutoi_sait.conf. Создайте симлинк этого файла в /etc/apache2/sites-enabled (либо ручками, либо воспользовавшись командой a2ensite moi_krutoi_sait). Перезапустите апач.
UPD: поправил очепятки
PS: апача нет под рукой, точной команды a2ensite вам дать не могу, но можете нагуглить

manul_87 · 17 ноября 2023, 15:10:42

Перенес файл с названием сайта domen.ru из /etc/apache2/vhosts в /etc/apache2/sites-available/, поменял название на domen.ru.conf

После ввода команды a2ensite domen.ru - файл domen.ru.conf появился в категории /etc/apache2/sites-enabled но суть не изменилась. Сайт по прежнему доступен только по http а по https - нет.

Команда netstat -lptu 443-й порт не видит.

ogost · 17 ноября 2023, 15:24:34

Апач перезапускали? конфигтест что кажет? в логах апача что-то есть?

dzhoser · 17 ноября 2023, 15:47:17

Имеется
<VirtualHost [ip_моего_сервера]:443>
Должно быть
<VirtualHost *:443>

manul_87 · 17 ноября 2023, 16:08:55

Цитата: ogost от 17 ноября 2023, 15:24:34Апач перезапускали? конфигтест что кажет? в логах апача что-то есть?

Apache перезапустил, apachectl configtest выдает Syntax OK

По логам, добавил в блок виртуального хоста для ssl:

CustomLog /var/www/manul/data/www/vechera.net/ssl/CustomLog_ssl.txt combined
ErrorLog /var/www/manul/data/www/vechera.net/ssl/ErrorLog_ssl.txt

Перезапустил Apache указанные файлы логов создались, но в них пусто после попытки зайти по https.

17 ноября 2023, 16:09:27

Цитата: dzhoser от 17 ноября 2023, 15:47:17Имеется
<VirtualHost [ip_моего_сервера]:443>
Должно быть
<VirtualHost *:443>

Поменял, перезапустил Apache, не помогло, тем более что у 80-го порта стоит именно так <VirtualHost [ip_моего_сервера]:443> и все работает.

suny · 17 ноября 2023, 16:26:33

Вот статья по настройке Apache, почитайте https://interface31.ru/tech_it/2023/10/nastraivaem-veb-server-apache-php-mysql-s-sertifikatami-lets-encrypt.html

manul_87 · 17 ноября 2023, 17:29:14

Цитата: suny от 17 ноября 2023, 16:26:33Вот статья по настройке Apache, почитайте https://interface31.ru/tech_it/2023/10/nastraivaem-veb-server-apache-php-mysql-s-sertifikatami-lets-encrypt.html

Тут ничего нового почти не нашел, у меня платный сертификат, т.е. certbot как я понимаю, не нужен

ChubaDuba · 17 ноября 2023, 18:17:59

Цитата: manul_87 от 17 ноября 2023, 13:00:48Провайдер тут не причем. Из разных мест не работает. И мобильного интернета в том числе.

Для размышлений...

Цитата: manul_87 от 17 ноября 2023, 13:00:48И мобильного интернета в том числе.

Например, у Билайна по умолчанию фильтрация входящих TCP-соединений на порты с 0 по 1024 (кроме www (80), ftp (21), smtp (25), pop3 (110), ssh (22)).
Билайн. Услуга Firewall
У других сотовых операторов 100% что-то подобное есть.

Так что выяснить у своего поставщика услуг открыт порт, или закрыт будет нелишним.

manul_87 · 18 ноября 2023, 00:17:31

Цитата: ChubaDuba от 17 ноября 2023, 18:17:59Так что выяснить у своего поставщика услуг открыт порт, или закрыт будет нелишним.

Если бы порты были закрыты на стороне провайдера, то не открывались бы все сайты на https, в том числе и debianforum.ru (если я конечно правильно все понимаю).

18 ноября 2023, 01:35:49
Ветаки похоже, что порт закрыт, т.к. команда netstat -na | grep :443 выводит следующее:

Код Выделить

netstat -na | grep :443
tcp    74813      0 89.111.181.30:58078     212.109.222.131:443     CLOSE_WAIT 
tcp    74813      0 89.111.181.30:46764     212.109.222.131:443     CLOSE_WAIT 
tcp    49667      0 89.111.181.30:56884     212.109.222.143:443     CLOSE_WAIT 
tcp     4257      0 89.111.181.30:58820     144.76.174.134:443      CLOSE_WAIT