/
Работа по HTTPS

Работа по HTTPS

Owned by Александр Николаев
Last updated: февр. 28, 2023 by Денис Лихачев
2 min read

Для того, чтобы платформа работала по протоколу HTTPS, необходимо установить сертификат на вашем сервере. Для этого выполните следующие шаги:

  1. Поместите файл сертификата, ключа и, если есть, пароля (certificate.crt, privatekey.key, password.pass) в папку /var/lib/visiology/certs на вашем сервере.
    Приведённые выше имена файлов заданы по умолчанию, поэтому, если требуется их переименование, вы можете сделать это в соответствующей секции кода ниже.

  2. В файле reverse-proxy.yml замените тело секции services.reverse-proxy.environment на код ниже:

HTTPS_SECTION_HTTP: | # HTTPS server optimization section # This will create a cache shared between all worker processes ssl_protocols TLSv1.3 TLSv1.2; ssl_ciphers EECDH+AESGCM:EDH+AESGCM; #ssl_dhparam /etc/nginx/dhparam.pem; ssl_ecdh_curve secp384r1; ssl_session_timeout 5m; ssl_session_cache shared:SSL:10m; ssl_session_tickets off; ssl_stapling on; ssl_stapling_verify on; add_header Strict-Transport-Security "max-age=63072000; includeSubDomains; preload"; add_header X-Frame-Options "SAMEORIGIN"; add_header X-Content-Type-Options nosniff; add_header X-XSS-Protection "1; mode=block"; # Redirect HTTP to HTTPS section server { listen 80; return 301 https://$$host$$request_uri; } HTTPS_SECTION_SERVER: | listen 443 ssl http2; ssl_certificate /mnt/volume/certificate.crt; ssl_certificate_key /mnt/volume/privatekey.key; #ssl_password_file /mnt/volume/password.pass; HTTP_SECTION_SERVER: |

Если у вас есть файл пароля ключа, то необходимо раскомментировать строку ssl_password_file.

Запуск платформы

При запуске run.sh требуется добавить аргумент --https true

Ограничение: При смене HTTP на HTTPS и наоборот, требуется удалить docker volume сервиса keycloak. Это повлечёт удаление всех созданных пользователей. Удаление требуется делать при остановленной платформе. Команда удаления:

docker volume rm visiology3_postgres_data

Возможные неполадки и пути их устранения

Проблема: не удаётся зайти на платформу, когда она настроена для работы по HTTPS.

В этом случае, необходимо выполнить следующие шаги:

  1. Проверьте, что сервис reverse-proxy запущен, выполнив следующую команду:
    docker servece ls | grep reverse-proxy

  2. Если он не запущен, просмотрите его логи:
    docker service logs visiology_reverse-proxy --since 5m

  3. Если в логе присутствуют ошибки вида "Cannot load certificate..." или "Cannot load key...", то потребуется проверить соответствие названий файлов сертификатов на хосте и в файле reverse-proxy.yml.

В файле reverse-proxy.yml необходимо проверить следующее:

  • в секции services.reverse-proxy присутствует секция volumes со следующим содержимым: - /var/lib/visiology/certs:/mnt/volume;

  • на сервере расположены файлы сертификата, ключа и пароля (если требуется) в папке /var/lib/visiology/certs;

  • имена файлов сертификатов в папке /var/lib/visiology/certs соответствуют названиям в секции services.reverse-proxy.environment.HTTPS_SECTION_SERVER. Необходимо сравнить имена файлов (значение после последнего знака /).

Проблема: не работает https на платформе версии 2.30

В этом случае необходимо настроить согласно документации Настройка HTTPS , соблюдая требование к названию файла сертификата proxy.crt

Смотрите также

Разворачивание платформы

Время чтения: 1 мин.

Нужна дополнительная помощь?

Свяжитесь с технической поддержкой.

 

 

 

Related content

Установка JDBC драйверов
Установка JDBC драйверов
Visiology Platform 3.1
Read with this
Работа по HTTPS
Работа по HTTPS
Visiology Platform 3.9
More like this
Установка платформы
Установка платформы
Visiology Platform 2.32
Read with this
Работа по HTTPS
Работа по HTTPS
Visiology Platform 3.6
More like this
Зaпуск платформы
Зaпуск платформы
Visiology Platform 2.32
Read with this
Работа по HTTPS
Работа по HTTPS
Visiology Platform 3.7
More like this