[ ratkaistu ] Oman domainin muuttaminen https -muotoiseksi certbotilla

[teele]

Yritin laittaa le (ssl eli https) -salauksen omalle palvelindomainille, mutta se ei tainnut onnistua.
Kokeilin tehdä näin

Koodia: [Valitse]

certbot --apache certonly  -d   omadomaini.dy.fi
Saving debug log to /var/log/letsencrypt/letsencrypt.log
Plugins selected: Authenticator apache, Installer apache
Obtaining a new certificate

IMPORTANT NOTES:
 - Congratulations! Your certificate and chain have been saved at:
   /etc/letsencrypt/live/omadomaini.dy.fi/fullchain.pem
   Your key file has been saved at:
   /etc/letsencrypt/live/omadomaini.dy.fi/privkey.pem
   Your cert will expire on 2020-06-12. To obtain a new or tweaked
   version of this certificate in the future, simply run certbot
   again. To non-interactively renew *all* of your certificates, run
   "certbot renew"
 - If you like Certbot, please consider supporting our work by:

Mutta sivu on vieläkin http -muotoinen eikä sitä löydy https -pyynnöllä. Tiedostolistauksen mukaan kummatkin avaimet ovat olemassa

Koodia: [Valitse]

ls /etc/letsencrypt/live/omadomaini.dy.fi/privkey.pem
/etc/letsencrypt/live/omadomaini.dy.fi/privkey.pem

ls /etc/letsencrypt/live/omadomaini.dy.fi/fullchain.pem
/etc/letsencrypt/live/omadomaini.dy.fi/fullchain.pem

Tiedosto   omadomaini-le-ssl.conf
 hakemistossa /etc/apache2/sites-available
on tällainen

Koodia: [Valitse]

<IfModule mod_ssl.c>
<VirtualHost *:443>     
ServerAdmin webmaster@localhost
        ServerName omadomaini.dy.fi
        DocumentRoot "/var/www/html/pehmolinkattu_omadomaini-tila/testailu"

           <Directory />
             Options FollowSymLinks
             AllowOverride None
            </Directory>

ErrorLog ${APACHE_LOG_DIR}/error.log
CustomLog ${APACHE_LOG_DIR}/access.log combined

SSLCertificateFile /etc/letsencrypt/live/omadomaini.dy.fi/fullchain.pem
SSLCertificateKeyFile /etc/letsencrypt/live/omadomaini.dy.fi/privkey.pem

Include /etc/letsencrypt/options-ssl-apache.conf
</VirtualHost>

# vim: syntax=</VirtualHost>
</IfModule>
Selain antaa virheilmoituksen

Secure Connection Failed

An error occurred during a connection to evvk.dy.fi. SSL received a record that exceeded the maximum permissible length.

Error code: SSL_ERROR_RX_RECORD_TOO_LONG

    The page you are trying to view cannot be shown because the authenticity of the received data could not be verified.
    Please contact the website owners to inform them of this problem.


En millään keksi, mitä pitäisi muuttaa, poistaa tai lisätä, että saisin omadomaini.dy.fi -sivun näkymään https -muotoisena.

[nm]

Onko omadomaini.dy.fi kaikissa asetustiedostoissa oikeasti joku muun niminen domain? evvk.dy.fi?

Mitä sinulla on hakemistossa /etc/apache2/sites-enabled:

Koodia: [Valitse]

ls -l /etc/apache2/sites-enabled

[teele]

Hakemistossa

/etc/apache2/sites-enabled

on pehmolinkki omadomaini-sivut.conf tiedostoon, ei siis omadomaini-sivut-le-ssl.conf tiedostoon, joka on kyllä olemassa /etc/apache2/sites-available -hakemistossa, ilmeisestikin päätteessä käytetyn certbot -komennnon tuloksena, mikä vaikuttaa ihan oikealta.

Koodia: [Valitse]

lrwxrwxrwx 1 root root 33 Mar  8 19:38 omadomaini-sivut.conf -> ../sites-available/omadomaini-sivut.conf

Ensimmäinen mieleen tuleva ratkaisuyritys olisi nyt muuttaa sites-enabled -hakemiston pehmolinkki osoittamaan omadomaini-le-ssl.conf -tiedostoon. Mutta voi olla hyvä yrittää ensin tässä hieman rauhoittua

Ehkä muutos pitäisi tehdä dissite ja ensite -komentojen avulla.

evvk.dy.fi on todelinen domaini, mutta sitä ei ole vielä tarkoitus ssl-salata. Ikävä kyllä ehdin sille salauksen jo kerran toiveikkaana tehdä käyttäen le:n selainsalainta, joka salasi kaikki palvelimen domainit, mistä taas koitui muuta ongelmaa. Sitten oli keinolla millä tahansa saatava salaukset pois ja entiset kokeiludomainit taas toimimaan. On mahdollista, että tässä paniikkitilanteessa tein jotain harkitsematonta ja joku muukin voi olla siksi pielessä.

Kun selainsalain oli käytössä, vaikutti siltä, että se teki vain yhdet avaimet ja nimesi ne aakkosjärjestyksessä ensimmäisen domainin mukaan. evvk oli tässä järjestykseeä ensimmäinen ja todennäköisesti tämä ensimmäisellä yrityskerralla luotu avainpari on siellä, mihin se on alunperin luotu. Toivottavasti se ei estä uuden, päätteessä käytetyn certbot -komennon tekemän avainparin löytymistä tai käyttöä.

[nm]

Hakemistossa

/etc/apache2/sites-enabled

on pehmolinkki omadomaini-sivut.conf tiedostoon, ei siis omadomaini-sivut-le-ssl.conf tiedostoon, joka on kyllä olemassa /etc/apache2/sites-available -hakemistossa, ilmeisestikin päätteessä käytetyn certbot -komennnon tuloksena, mikä vaikuttaa ihan oikealta.

Koodia: [Valitse]

lrwxrwxrwx 1 root root 33 Mar  8 19:38 omadomaini-sivut.conf -> ../sites-available/omadomaini-sivut.conf


Joo, tuo pitää korvata linkillä omadomaini-sivut-le-ssl.conf -> ../sites-available/omadomaini-sivut-le-ssl.conf

Ensimmäinen mieleen tuleva ratkaisuyritys olisi nyt muuttaa sites-enabled -hakemiston pehmolinkki osoittamaan omadomaini-le-ssl.conf -tiedostoon. Mutta voi olla hyvä yrittää ensin tässä hieman rauhoittua

Ehkä muutos pitäisi tehdä dissite ja ensite -komentojen avulla.

Niitä voi käyttää, tai voit tehdä linkin ln-komennolla ja käynnistää apache2-palvelun uudelleen.

evvk.dy.fi on todelinen domaini, mutta sitä ei ole vielä tarkoitus ssl-salata. Ikävä kyllä ehdin sille salauksen jo kerran toiveikkaana tehdä käyttäen le:n selainsalainta, joka salasi kaikki palvelimen domainit, mistä taas koitui muuta ongelmaa. Sitten oli keinolla millä tahansa saatava salaukset pois ja entiset kokeiludomainit taas toimimaan. On mahdollista, että tässä paniikkitilanteessa tein jotain harkitsematonta ja joku muukin voi olla siksi pielessä.

Edellisen viestin virheilmoituksessa näkyi evvk.dy.fi, joten jollain tavalla selaimesi ohjautui siihen osoitteeseen. omadomaini.dy.fi ei ainakaan tällä hetkellä ohjaudu mihinkään, eli kyseinen nimi ei ole käytössä:

Koodia: [Valitse]

host omadomaini.dy.fi

Host omadomaini.dy.fi not found: 3(NXDOMAIN)

Tarkista käytössä olevat nimet dy.fi:ssä.

[teele]

stv-sivut-le-ssl.conf -asetustiedoston aktivoiminen dissite ja ensite -komennoilla ja vaaditut apachen uudelleenaktivoinnit

systemctl reload apache2
 
-komennolla näyttivät auttavan. Nyt stv.dy.fi häkyy https -pyynnöllä

Kiitos neuvoista 

MUOK.

Tässä vielä tiivistetysti komennot, joilla ilmeisesti saa http - sivun https -sivuksi. Vielä jää ratkaisematta, mistä tarvittavan -le-ssl.conf -tiedoston saa, jos vanhoja tiedostoja muokattavaksi ei koneella ole. Ehkä dissiten ja ensiten voisi tehdä peräkkäin ilman uudelleenlatauksia, mutta nyt ainakin ontehty, mitä pääte kehotti. Ehkä joku osaavampi voi parantaa menetelmää.

Toinen kysymys on, miten certbot oikeastaan pitäisi tällaista käyttöä varten koneeseen asentaa.

Koodia: [Valitse]

sudo certbot --apache certonly  -d   koedomain.dy.fi
sudo a2dissite koedomain-sivut.conf
sudo systemctl reload apache2
sudo a2ensite koedomain-sivut-le-ssl.conf
sudo systemctl reload apache2