Rozdíly

Zde můžete vidět rozdíly mezi vybranou verzí a aktuální verzí dané stránky.

--- instalace:apache [2022/05/24 12:36] – stará verze byla obnovena (2022/05/24 12:19) kozak
+++ instalace:apache [2024/04/17 11:31] (aktuální) – [Konfigurace Apache] kozak
@@ Řádek 12: / Řádek 12: @@
     ServerName **blockchain.vaseDomena**
     <FilesMatch "\.(cgi|shtml|phtml|php)$">
-   SSLOptions +StdEnvVars
+    SSLOptions +StdEnvVars
     </FilesMatch>
     <Directory /usr/lib/cgi-bin>
-        SSLOptions +StdEnvVars
+    SSLOptions +StdEnvVars
     </Directory>
     ErrorLog ${APACHE_LOG_DIR}/error.log
@@ Řádek 27: / Řádek 27: @@
     ProxyPassReverse / http://localhost:8080
     SSLEngine on
-    SSLProtocol             all -SSLv3 -TLSv1 -TLSv1.1
+    SSLProtocol   all -SSLv3 -TLSv1 -TLSv1.1
-    SSLCipherSuite          ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-CHACHA20-POLY1305:ECDHE-RSA-CHACHA20-POLY1305:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES256-SHA384:ECDH-ECDSA-AES-128-GCM-SHA256:ECDH-RSA-AES-128-GCM-SHA2>
+    SSLCipherSuite   ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-CHACHA20-POLY1305:ECDHE-RSA-CHACHA20-POLY1305:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES256-SHA384:ECDH-ECDSA-AES-128-GCM-SHA256:ECDH-RSA-AES-128-GCM-SHA2>
     SSLHonorCipherOrder     on
     SSLCompression          off
@@ Řádek 41: / Řádek 41: @@
     Header always set Referrer-Policy "same-origin"
     Header set Content-Security-Policy "script-src 'self' 'unsafe-eval' https:; object-src 'self' 'unsafe-eval' https:"
-    Header set Feature-Policy "vibrate 'self'; geolocation 'self'; notifications 'self'"
 </VirtualHost>
@@ Řádek 47: / Řádek 46: @@
     ServerName **blockchain.vaseDomena**
     <FilesMatch "\.(cgi|shtml|phtml|php)$">
-        SSLOptions +StdEnvVars
+    SSLOptions +StdEnvVars
     </FilesMatch>
     <Directory /usr/lib/cgi-bin>
-        SSLOptions +StdEnvVars
+    SSLOptions +StdEnvVars
     </Directory>
     ErrorLog ${APACHE_LOG_DIR}/error.log
@@ Řádek 73: / Řádek 72: @@
     Header always set Referrer-Policy "same-origin"
     Header set Content-Security-Policy "script-src 'self' 'unsafe-eval' https:; object-src 'self' 'unsafe-eval' https:"
-    Header set Feature-Policy "vibrate 'self'; geolocation 'self'; notifications 'self'"
 </VirtualHost>
 </IfModule>
@@ Řádek 79: / Řádek 77: @@
 </code>
-  * Dále se také do **/etc/apache2/ports.conf**  doplní pod **ssl_module**''Listen 3000''  pro funkci gatewaye
+  * Configurační soubor **blockchain.vaseDomena.conf**  je potřeba zahrnout mezi Apache configy
-  * A do **/etc/apache2/sites-available/000-default.conf**  je vhodné do virtual hosta doplnit automatický redirect na https
+      * ''sudo a2ensite blockchain.vaseDomena''
+  * Dále také do **/etc/apache2/ports.conf**  doplnit pod **ssl_module **''Listen 3000''  pro funkci gatewaye
+  * Do **/etc/apache2/sites-available/000-default.conf**  je vhodné do virtual hosta doplnit automatický redirect na https
       * ''Redirect permanent / [[https://blockchain.vaseDomena|https://blockchain.vaseDomena]]''
-  * Nezapomeňte, že je potřeba mít povolené moduly SSL a MD
+  * Je potřeba povolit následující moduly:
-      * ''sudo a2enmod md''
+      * ''sudo a2enmod rewrite''
       * ''sudo a2enmod ssl''
+      * ''sudo a2enmod md''
+      * ''sudo a2enmod proxy''
+      * ''sudo a2enmod proxy_http''
+      * ''sudo a2enmod http2''
+      * ''sudo a2enmod headers''
 SSL certifikáty se automaticky generují přes mod_md modul zabudovaný v Apachi. Pokud chcete přidat další doménu, pro kterou je potřeba generovat certifikáty (například Vaše aplikace bežící na nodu pod jinou doménou), doporučujeme vytvořit nový config například **aplikace.vaseDomena.conf**  v /etc/apache2/sites-available/ a zařadit ho mezi configy, které si Apache načítá při spuštění příkazem ''sudo a2ensite **aplikace.vaseDomena**''.Potom stačí Apache restartovat ''sudo systemctl restart apache2''  a certifikáty by se měly pravidelně začít generovat i pro tuto doménu. Výše zmíněný config by pro aplikaci běžící na portu 8083 mohl vypadat například takto:
 <code>
@@ Řádek 97: / Řádek 102: @@
     ServerName **aplikace.vaseDomena**
     <FilesMatch "\.(cgi|shtml|phtml|php)$">
-   SSLOptions +StdEnvVars
+    SSLOptions +StdEnvVars
     </FilesMatch>
     <Directory /usr/lib/cgi-bin>
-       SSLOptions +StdEnvVars
+    SSLOptions +StdEnvVars
     </Directory>
     ErrorLog ${APACHE_LOG_DIR}/error.log
@@ Řádek 109: / Řádek 114: @@
     ProxyPassReverse / http://localhost:8083/
     SSLEngine on
-    SSLProtocol             all -SSLv3 -TLSv1 -TLSv1.1
+    SSLProtocol   all -SSLv3 -TLSv1 -TLSv1.1
-    SSLCipherSuite          ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-CHACHA20-POLY1305:ECDHE-RSA-CHACHA20-POLY1305:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES256-SHA384:ECDH-ECDSA-AES-128-GCM-SHA256:ECDH-RSA-AES-128-GCM-SHA2>
+    SSLCipherSuite   ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-CHACHA20-POLY1305:ECDHE-RSA-CHACHA20-POLY1305:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES256-SHA384:ECDH-ECDSA-AES-128-GCM-SHA256:ECDH-RSA-AES-128-GCM-SHA2>
     SSLHonorCipherOrder     on
     SSLCompression          off
@@ Řádek 123: / Řádek 128: @@
     Header always set Referrer-Policy "same-origin"
     Header set Content-Security-Policy "script-src 'self' 'unsafe-eval' https:; object-src 'self' 'unsafe-eval' https:"
-    Header set Feature-Policy "vibrate 'self'; geolocation 'self'; notifications 'self'"
 </VirtualHost>
 </IfModule>
 </code>
+==== Vlastní SSL certifikáty ====
+Stačí do zmíněného configu **/etc/apache2/sites-available/blockchain.vaseDomena.conf **doplnit cesty k certifikátu.
+. řádek ''MDomain **blockchain.vaseDomena**'' přepsat na:
+<code>
+<MDomain **blockchain.vaseDomena**>
+    MDCertificateFile    /etc/ssl/certs/ssl-cert.pem
+    MDCertificateKeyFile /etc/ssl/private/ssl-cert.key
+</MDomain>
+</code>