Forum PHP.pl

Panowie/Panie, pomóżcie rozwizać problem.
Mam VPS'a a na nim zainstalowany i działajcy SSL, problem pojawił się kiedy odpaliłęm DOCKER w którym mam uruchomiony serwer do przetwarzania zdjęć,
resize, crop, fill według zadanych parametrów.
I nie powiem,działa bardzo dobrze ale tylko po http, nie mogę sobie poradzić a próbowałem już chyba wszystkiego. Przeczytałem trochę na temat PROXY, próbowałem poustawiać w/g
proponowanych wzorców ale to za diabła nie działa.
system: CentOS 7..., httpd 2.4 (Apache2.4), OpenSSL oczywiście i utknałem ....
nie rozumiem do końca jak działa Proxy w takim przypadku.
konfiguracja serwera VPS:

[XML] pobierz, plaintext 
<VirtualHost *:80>
# Redirect any HTTP request to HTTPS
	RewriteEngine On
	RewriteCond %{HTTPS} off
	RewriteRule (.*) https://%{SERVER_NAME}/$1 [R,L]
 
	ServerAdmin root@imgproxy.mojserver.net
	DocumentRoot /var/www/html/imgproxy
	ServerName imgproxy.mojserver.net
</VirtualHost>
 
# Virtual Host 1
<VirtualHost *:443>
	SSLEngine on
	SSLCertificateFile /etc/pki/tls/certs/ca.crt
	SSLCertificateKeyFile /etc/pki/tls/private/ca.key
	<Directory /var/www/html/imgproxy>
		AllowOverride All
	</Directory>
	ServerAdmin root@imgproxy.mojserver.net
	DocumentRoot /var/www/html/imgproxy
	ServerName imgproxy.mojserver.net
</VirtualHost>
 
[XML] pobierz, plaintext 

jak dotad wszystko działa.

Poniżej to co ustawiłem dla proxy(osobny plik proxy.conf):

[XML] pobierz, plaintext 
# HTTP
<VirtualHost *:80>
 
	ServerName imgproxy.mojserver.net
	ServerAlias imgproxy.mojserver.net www.imgproxy.mojserver.net
 
# Redirect any HTTP request to HTTPS
	RewriteEngine On
	RewriteCond %{HTTPS} off
	RewriteRule (.*) https://%{SERVER_NAME}/$1 [R,L]
 
# Logging
	LogLevel warn
	ErrorLog imgproxy.mojserver.net-error_log
	CustomLog imgproxy.mojserver.net-access_log combined
 
</VirtualHost>
 
# HTTPS
<VirtualHost *:443>
 
	ServerName imgproxy.mojserver.net
 
# Logging
LogLevel warn
	ErrorLog imgproxy.mojserver.net-error_log
	CustomLog imgproxy.mojserver.net-access_log combined
 
# SSL Configuration - uses strong cipher list - these might need to be downgraded if you need to support older browsers/devices
	SSLEngine on
	SSLCipherSuite EECDH+AESGCM:EDH+AESGCM:AES256+EECDH:AES256+EDH
	SSLProtocol All -SSLv2 -SSLv3
#	-TLSv1 -TLSv1.1
	SSLHonorCipherOrder On
	SSLCertificateFile /etc/pki/tls/certs/ca.crt
	SSLCertificateKeyFile /etc/pki/tls/private/ca.key
#SSLCertificateChainFile /path/to/your/certificate/chainfile.crt
 
# HSTS (optional)
	Header always set Strict-Transport-Security "max-age=63072000; includeSubdomains;"
# Remove this if you need to use frames or iframes
#	Header always set X-Frame-Options DENY
# Prevent MIME based attacks
	Header set X-Content-Type-Options "nosniff"
 
# Reverse proxy configuration
	< Location / >
		ProxyPass imgproxy.mojserver.net/
		ProxyPassReverse imgproxy.mojserver.net:8080/
	< /Location >
 
</VirtualHost>
[XML] pobierz, plaintext 

Co źle zrobiłem, może mi to ktoś objaśnić i wskazać jak powinienem to zrobić ,żeby kontenery także były "secure"?

Czy może trzeba zainstalować certyfikat również na kontenerze ?
Jeśli tak to jak się do tego zabrać ?
Doker niby temat nie nowy ale dla mnie .... bardzo.

Pozdrawiam
phpamator

Ten post edytował phpamator 4.12.2017, 11:28:06

Kolega widze zorientowany w temacie, super, dzięki za podpowiedz, jednak w dalszym ciagu nie wiele mi to powiedziało.
Może rozszerze nieco o co mi chodzi na wszelki wypadek, to że VPS i Docker a w nim kontener to już wiesz. Serwer imgproxy działa na porcie 8080
i nie wiem jak właśnie spowodować żeby ten odpalony na porcie 8080 był secure.
Piszac "podpiać certyfikat do Apacha" co masz na myśli, już jeden certyfikat na apachu smiga i jest https i w przeglądarce widzę "Secure" ale tylko jak dobieram się do httpd po HTTPS (port 443) albo przekierowuję zapytania HTTP (port 80) na HTTPS.
Nie kumam co mam zrobić z tym kontenerem.
I jak mam doczepić kolejny certyfikat do Apacha ? (Centos httpd (apache 2.4))
Jak zbindować port 8080 z kontenera żeby mi go Apache/httpd widział jako "Secure" ?

Ten imgproxy to gotowy obraz pociągnięty z github'a. Osobnik który go przygotował (DarthSim) przygotował go do odpalenia bez podawania jakichkolwiek szczegółów dotyczących konfiguracji https niestety, stąd problem i moje pytanie.

Ten post edytował phpamator 4.12.2017, 13:44:42

No właśnie Pytonku tak zrobiłem
zobacz:

[XML] pobierz, plaintext 
# HTTP
<VirtualHost *:80>
 
	ServerName imgproxy.mojserver.net
	ServerAlias imgproxy.mojserver.net www.imgproxy.mojserver.net
 
# Redirect any HTTP request to HTTPS
	RewriteEngine On
	RewriteCond %{HTTPS} off
	RewriteRule (.*) https://%{SERVER_NAME}/$1 [R,L]
 
# Logging
	LogLevel warn
	ErrorLog imgproxy.mojserver.net-error_log
	CustomLog imgproxy.mojserver.net-access_log combined
 
</VirtualHost>
 
# HTTPS
<VirtualHost *:443>
 
	ServerName imgproxy.mojserver.net
 
# Logging
LogLevel warn
	ErrorLog imgproxy.mojserver.net-error_log
	CustomLog imgproxy.mojserver.net-access_log combined
 
# SSL Configuration - uses strong cipher list - these might need to be downgraded if you need to support older browsers/devices
	SSLEngine on
	SSLCipherSuite EECDH+AESGCM:EDH+AESGCM:AES256+EECDH:AES256+EDH
	SSLProtocol All -SSLv2 -SSLv3
#	-TLSv1 -TLSv1.1
	SSLHonorCipherOrder On
	SSLCertificateFile /etc/pki/tls/certs/ca.crt
	SSLCertificateKeyFile /etc/pki/tls/private/ca.key
#SSLCertificateChainFile /path/to/your/certificate/chainfile.crt
 
# HSTS (optional)
	Header always set Strict-Transport-Security "max-age=63072000; includeSubdomains;"
# Remove this if you need to use frames or iframes
#	Header always set X-Frame-Options DENY
# Prevent MIME based attacks
	Header set X-Content-Type-Options "nosniff"
 
# Reverse proxy configuration
	< Location / >
		ProxyPass imgproxy.mojserver.net/
		ProxyPassReverse imgproxy.mojserver.net:8080/
	< /Location >
 
</VirtualHost>
[XML] pobierz, plaintext 

ale wyraźnie źle (IMG:style_emoticons/default/smile.gif)

bo nie wiem jak to powinienem zrobić

No własnie nie ;(
Dlatego pytam

Konkretnie to nie działa ....... imgproxy (IMG:style_emoticons/default/smile.gif)
Jak zaglądam do kodu żródłowego strony widzę wygenerowane linki ale nie wyświetla mi obrazów a jak skopiuje te linki do przeglądarki dostaję 404
albo This site can’t provide a secure connection

imgproxy.mojserver.net sent an invalid response.
Try running Windows Network Diagnostics.
ERR_SSL_PROTOCOL_ERROR
aha i spodziewałem się, jak już odpaliłem proxy, że url się zmieni i nie będzie mi zwracał .....:8080 tylko https://imgproxy.mojserver.net/...i tu nazwa/url obrazka

https://imgproxy.mojserver.net:8080/obqevbu...iYWdzLmpwZw.png

a przecież jak https no to nie :8080 ?
poza tym jak proxy to adres chyba powinien wyglądać inaczej ?


Ten post edytował phpamator 4.12.2017, 14:07:48

Nie pomaga ale chyba coś źle mam skonfigurowane jeśli chodzi o VS'y.
W sumie też nie wiem czy powinienem skonfigurować kontener jako VS ?
Nadać mu jakąś nazwę ... kontener.imgproxy.mojserver.net ?
..... ale coś się dzieje bo już nie wywala mi błędów, zamiast tego wygenerowany url po wklejeniu do przeglądarki pokazuje .... "not found" (IMG:style_emoticons/default/smile.gif)
i ....
# apachectl configtest
AH00526: Syntax error on line 48 of /etc/httpd/conf.d/imager.conf:
ProxyPass|ProxyPassMatch can not have a path when defined in a location.


Ten post edytował phpamator 4.12.2017, 14:51:16

Zacznijmy jeszcze raz (IMG:style_emoticons/default/smile.gif)

Pokażę ci może httpd.conf -> imgproxy.conf (ten chyba ważniejszy bo "główny" VS jest tutaj)

[XML] pobierz, plaintext 
 
<VirtualHost *:80>
 
# Redirect any HTTP request to HTTPS
	RewriteEngine On
	RewriteCond %{HTTPS} off
	RewriteRule (.*) https://%{SERVER_NAME}/$1 [R,L]
 
	ServerAdmin root@imgproxy.mojserver.net
	DocumentRoot /var/www/html/imgproxy
	ServerName imgproxy.mojserver.net
</VirtualHost>
 
<VirtualHost imgproxy.mojserver.net:443>
	SSLEngine on
	SSLCertificateFile /etc/pki/tls/certs/ca.crt
	SSLCertificateKeyFile /etc/pki/tls/private/ca.key
	<Directory /var/www/html/imgproxy>
		AllowOverride All
	</Directory>
	ServerAdmin root@imgproxy.mojserver.net
	DocumentRoot /var/www/html/imgproxy
	ServerName imgproxy.mojserver.net
</VirtualHost>
[XML] pobierz, plaintext 

może od samego początku coś skopałem - chociaż działało (IMG:style_emoticons/default/tongue.gif)

a tu coś co miało być związane z kontenerem:

[XML] pobierz, plaintext 
# HTTP
<VirtualHost *:80>
 
	ServerName imgproxy.mojserver.net
	ServerAlias imgproxy.mojserver.net www.imgproxy.mojserver.net
 
# Redirect any HTTP request to HTTPS
	RewriteEngine On
	RewriteCond %{HTTPS} off
	RewriteRule (.*) https://%{SERVER_NAME}/$1 [R,L]
 
# Logging
	LogLevel warn
	ErrorLog imgproxy.mojserver.net-error_log
	CustomLog imgproxy.mojserver.net-access_log combined
 
</VirtualHost>
 
# HTTPS
<VirtualHost *:443>
 
	ServerName imgproxy.mojserver.net
 
# Logging
LogLevel warn
	ErrorLog imgproxy.mojserver.net-error_log
	CustomLog imgproxy.mojserver.net-access_log combined
 
# SSL Configuration - uses strong cipher list - these might need to be downgraded if you need to support older browsers/devices
	SSLEngine on
	SSLCipherSuite EECDH+AESGCM:EDH+AESGCM:AES256+EECDH:AES256+EDH
	SSLProtocol All -SSLv2 -SSLv3
#	-TLSv1 -TLSv1.1
	SSLHonorCipherOrder On
	SSLCertificateFile /etc/pki/tls/certs/ca.crt
	SSLCertificateKeyFile /etc/pki/tls/private/ca.key
#SSLCertificateChainFile /path/to/your/certificate/chainfile.crt
 
# HSTS (optional)
	Header always set Strict-Transport-Security "max-age=63072000; includeSubdomains;"
# Remove this if you need to use frames or iframes
#	Header always set X-Frame-Options DENY
# Prevent MIME based attacks
	Header set X-Content-Type-Options "nosniff"
 
# Reverse proxy configuration
	<Location />
		ProxyPass http://127.0.0.1:8080/
		ProxyPassReverse 127.0.0.1:8080/
	</Location>
 
</VirtualHost>
[XML] pobierz, plaintext 

I tu pewnie umrzesz/umrzecie ze śmiechu ...... co za bzdury porobiłem ?


Ten post edytował phpamator 4.12.2017, 15:09:12

Czekaj czekaj, w dockerze nie mam 443 wogóle niemam nic tylko apkę którą odpalam na 8080
Wszystko co robię robię na VPS'ie nie na dockerze/kontenerze


....
chyba coś mi zaczyna świtać .... chociaż nie do końca



Ten post edytował phpamator 4.12.2017, 15:21:18

OK, to już krok bliżej, jednak kiedy odpalam/próbuję na porcie 80 dostaję coś takiego:
"docker run -e IMGPROXY_KEY=943b2c86009268de4e532ba2ee2eab8247c6da0881 -e IMGPROXY_SALT=520f986b99f3c1203f22de2374a3d53cb7a7fe9fea309c5 -p 80:80 -t imgproxy
/usr/bin/docker-current: Error response from daemon: driver failed programming external connectivity on endpoint goofy_shockley (0e2fd1184210aff6cf464663b595a8351f8415ab9ac3da8712b293807b43f310): Error starting userland proxy: listen tcp 0.0.0.0:80: bind: address already in use."

probujesz odpalic kontener na porcie 80 ale ten port jest juz zajety przez nginx/apache hosta.

Skoro na porcie 80 chodzi ci teraz proxy, to kontener odpal na inny porcie i w proxy przekierowuj na ten inny port

[XML] pobierz, plaintext 
###########################################
##                        V I R T U A L   S E R V E R  1                         ##
###########################################
# HTTP
<VirtualHost *:80>
 
# Redirect any HTTP request to HTTPS
 
	RewriteEngine On
 
	RewriteCond %{HTTPS} off
 
	RewriteRule (.*) https://%{SERVER_NAME}/$1 [R,L]
 
	ServerAdmin root@imgproxy.mojserver.net
 
	DocumentRoot /var/www/html/imgproxy
 
	ServerName imgproxy.mojserver.net
 
</VirtualHost>
 
# HTTPS
<VirtualHost imgproxy.mojserver.net:443>
	SSLEngine on
	SSLCertificateFile /etc/pki/tls/certs/ca.crt
	SSLCertificateKeyFile /etc/pki/tls/private/ca.key
	<Directory /var/www/html/imgproxy>
		AllowOverride All
	</Directory>
	ServerAdmin root@imgproxy.mojserver.net
	DocumentRoot /var/www/html/imgproxy
	ServerName imgproxy.mojserver.net
</VirtualHost>
 
###########################################
##                        V I R T U A L   S E R V E R  2                         ##
###########################################
 
# HTTPS
<VirtualHost *:443>
	<Location />
		ProxyPass h t t p ://127.0.0.1:8080/
		ProxyPassReverse 127.0.0.1:8080/
	</Location>
</VirtualHost>
[XML] pobierz, plaintext 

nie wiem, nie rozumiem ... ;(
próbowałem docker run -e IMGPROXY_KEY=943b2c86009268de4e532ba2ee2eab8247c6da0881 -e IMGPROXY_SALT=520f986b99f3c1203f22de2374a3d53cb7a7fe9fea309c5 -p 8080:80 -t imgproxy
w drugą stronę nie idzie -p 8080:80

Ponieważ ma służyć wyłącznie do tego jednego celu, może poprostu wykopać wszystko, zostawić jedynie proxy. Tylko jak powinien wyglądać w tej sytuacji konfig VS?
Może niepotrzebnie kombinuję i komplikuję (jak zwykle) sprawę.

To może z innej strony, istnieje jeszcze opcja uruchomienia imgproxy ale bezpośrednio na hoscie. Zainstalowałem wszystkie wymagane elementy w tym vips ale przy próbie uruchomienia imgproxy wywala mi komunikat że vips nie jest zainstalowany albo żeby dopisać ścieżkę.
Przekopałem pliki ale nie znalazłem miejsca gdzie mógłbym to zrobić.
Z pewnością ta droga była by łatwiejszą ale ... jak widać nie dane mi jest chyba ..... uruchomić imgproxy.

W międzyczasie miotając się na prawo i lewo próbując odbryźć sobie ucho ze złości, tak namieszałem, że dostałem taki komunikat:
Proxy Error

The proxy server received an invalid response from an upstream server.
The proxy server could not handle the request GET /.

Reason: Error reading from remote server
Czyli coś nowego (IMG:style_emoticons/default/smile.gif)


Ten post edytował phpamator 4.12.2017, 17:18:04