Jump to content
Froxlor Forum
  • 0

SSL Weiterleitung an vHost außerhalb des customers docroot

FearTheDude

Asked by FearTheDude,

 Share

Question

FearTheDude Newbie

FearTheDude

Posted
Posted

Folgende Situation:

Ich betreibe einen vServer mit Froxlor als Hostingpanel
Der docroot von meinedomain.tld liegt unter /var/customers/webs/meinAccount
Eine SSL Weiterleitung wurde auf meinedomain.tld eingerichtet
Kunden verwenden ein paar vorinstallierte tools (Webmailer, DB Frontend, Froxlor Panel) über toolname.meinedomain.tld
Die Tools liegen nicht im docroot von meinedomain.tld sondern unter /var/www/toolname

Folgendes Problem:

Die SSL Weiterleitung von http auf https bei der Hauptdomain meinedomain.tld funktioniert nicht, es sei denn, man verwendet eine der Subdomains für die Tools
Für meinedomain.tld wird anstatt /var/customers/webs/meinAccount der docroot /var/www verwendet

Vorübergehende Lösung:

Die Prüfung, ob mod_rewrite in der NN_froxlor_normal_vhost_meinedomain.tld.conf aktiv ist, entfernen 

<IfModule !mod_rewrite.c>
  Redirect 301 / https://meinedomain.tld/
</IfModule>

Dann findet IMMER ein Redirect auf HTTPS statt, wobei hier auch der richtige docroot geladen wird.

Nachteil:

Sobald die Configs neu geschrieben werden, ist die Änderung weg.

Fragen:

Kann man die mod_rewrite prüfung für die SSL Weiterleitung irgendwo dauerhaft deaktivieren?
Warum verwendet der vHost Container für http keinen bzw. den falschen docroot?
Wie kann ich persistente Änderungen an den .conf Dateien für einen vHost vornehmen?

Link to comment
Share on other sites

3 answers to this question

Recommended Posts

  • 0
d00p Grand Master

d00p

Posted
Posted

Verstehe nicht ganz was du meinst...du hast eine Domain, 'meinedomain.tld' und hier noch subdomains angelegt, 'webmail.meinedomain.tld', 'pma.meinedomain.tld' und 'froxlor.meinedomain.tld' (< das verstehe ich übrigens am wenigsten....froxlor hat einen eigenen hostname...).

Warum jetzt der SSL redirect bei 'meinedomain.tld' nicht funktionieren soll, nur weil die subdomains auf andere docroots zeigen will nicht in meinen kopf...hat nix miteinander zu tun, haben doch alle domains ihre eigene vhost-config (vllt nopastest du die mal für mehr klarheit)

4 minutes ago, FearTheDude said:

Kann man die mod_rewrite prüfung für die SSL Weiterleitung irgendwo dauerhaft deaktivieren?

nein

4 minutes ago, FearTheDude said:

Warum verwendet der vHost Container für http keinen bzw. den falschen docroot?

Na wenn ein SSL Redirect aktiv ist, braucht der vhost kein DocumentRoot....er leitet ja nur woanders hin weiter, mehr nicht

5 minutes ago, FearTheDude said:

Wie kann ich persistente Änderungen an den .conf Dateien für einen vHost vornehmen?

Theoretisch gibt es da möglichkeiten...ich würde aber erstmal mit "boardmitteln" versuchen alles korrekt zu nutzen, denn froxlor kann das

Link to comment
Share on other sites
  • 0
FearTheDude Newbie

FearTheDude

Posted
  • Author
Posted

Die vHost Config ohne SSL:
https://nopaste.xyz/?462bdd9f30cf4e94#ot4pc2Ii2yluE7ifXGXGJcqPW03PFZ/JJcFqBERNJZc=

Die vHost Config mit SSL:
https://nopaste.xyz/?8b535f0d711e552c#BHXaRtXo9MNQ+56S7VlPLkVCmu/tOuNzioWjud8+AoY=

Wenn man die Webseite über http betritt, landet man allerdings auf /var/www (unverschlüsselt), anstatt auf den SSL Host mit dem korrekten docroot weitergeleitet zu werden.

Seltsamerweise funktioniert die SSL Weiterleitung bei den Subdomains (webmail, database, panel) einwandfrei, obwohl sich diese nur vom Servernamen und der Weiterleitungs URL unterscheiden.

Link to comment
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now
 Share
Go to question listing

  • Similar Content

    • logicbloke
      Froxlor hostname SSL certs not copied
      By logicbloke
      Hello,
      I seem to be getting this error when the cron runs:
      [debug] System certificate file "/etc/ssl/froxlor-custom/xxx.tld.crt" does not seem to exist. Disabling SSL-vhost for "xxx.tld"
      Froxlor VirtualHost is enabled, along with SSL generation but it seems like it's being generated on acme's folder and not copied over to /etc/ssl/froxlor-custom/, anyone has any clues?
       
      Many thanks,
    • logicbloke
      [SSL LE] Difference between acme.sh and Froxlor crons
      By logicbloke
      Hi,
      I'm just wondering what the difference is between the following 2 folders:
      Why is froxlor installing acme.sh cron everytime it runs at 3am everyday especially since the 5-min let's encrypt froxlor cron is already in place? Also, all my db config points to /etc/ssl/froxlor-custom for the domains and all keys/certificates inside that folder have a different md5 from the ones under /root/.acme.sh/, so I'm wondering what's with the mismatch? Are we updating certificates for domains twice?
       
      If anyone can shed some more light on this, it will be very much appreciated.
       
      Many thanks!
    • Michael Groß
      Froxlor hinter Firewall
      By Michael Groß
      Hallo zusammen,
      ich kämpfe momentan mit der SSL Konfiguration von meinem Froxlor-Server.
      Bedauerlicherweise befindet sich der Webserver hinter einer Firewall und hat eine private IP Adresse zugewiesen bekommen. 
      Die Firewall leitet entsprechend den Traffic von außerhalb auf den Server weiter (HTTP ist das alles kein Problem).
      Nun habe ich vorhin SSL aktivieren wollen und hierzu kann ich leider keine private IP Adresse eintragen (lässt Froxlor nicht zu).
      Entsprechend habe ich die public IP eingetragen, was aber auch nicht funktioniert, da durch das NAT der Firewall die private IP angesprochen wird - somit funktioniert dies nicht.
      Habt ihr eine Idee, wie man das umbauen kann?
      An sich brauche ich nur die private IP Adresse als SSL Adresse eintragen - vermute aber, dass dadurch Let's Encrypt auch nicht mehr richtig laufen wird.
      Viele Grüße
      Michael
      PS: Ein 1:1 NAT wäre noch eine Möglichkeit, da ich die Public IP aber für diverse Server verwende, fällt das auch raus. Müsste dann eine neue Public IP kaufen, welche ich dann mit einem 1:1 NAT auf den Webserver laufen lasse (wäre noch eine Möglichkeit)
    • nisamudeen97
      letsencrypt getting failed under NAT
      By nisamudeen97
      Hi,
      Our froxlor server is behiend NAT and it uses the local IP  192.168.73.40.  We have enabled letsencrypt module in froxlor and tried validating SSL for a domain in the server.  SSL generation is getting failed with 403 error.  See the debug log information.      Replaced domain name and main IP.    Can any one help me regarding the issue.
       
      [information] Updating Let's Encrypt certificates [information] Updating domain-name.com [information] Adding SAN entry: domain-name.com [information] Adding SAN entry: www.domain-name.com [information] letsencrypt-v2 Using 'https://acme-v02.api.letsencrypt.org' to generate certificate [information] letsencrypt-v2 Using existing account key [information] letsencrypt-v2 Starting certificate generation process for domains [information] letsencrypt-v2 Sending signed request to https://acme-v02.api.letsencrypt.org/acme/new-order [information] letsencrypt-v2 Requesting challenge for domain-name.com [information] letsencrypt-v2 Got challenge token for domain-name.com [information] letsencrypt-v2 Token for domain-name.com saved at /var/www/froxlor/.well-known/acme-challenge/vkTyLi2ApfP9O9ou8GyDz6WQmB--HP4ULnU0fhjXI0k and should be available at http://domain-name.com/.well-known/acme-challenge/vkTyLi2ApfP9O9ou8GyDz6WQmB--HP4ULnU0fhjXI0k [information] letsencrypt-v2 Sending request to challenge [information] letsencrypt-v2 Sending signed request to https://acme-v02.api.letsencrypt.org/acme/chall-v3/803008408/k46kFQ [information] letsencrypt-v2 Verification pending, sleeping 1s [information] letsencrypt-v2 Verification pending, sleeping 1s [error] Could not get Let's Encrypt certificate for domain-name.com: Verification ended with error: {"type":"http-01","status":"invalid","error":{"type":"urn:ietf:params:acme:error:unauthorized","detail":"Invalid response from http:\/\/domain-name.com\/.well-known\/acme-challenge\/vkTyLi2ApfP9O9ou8GyDz6WQmB--HP4ULnU0fhjXI0k [212.224.xxx.xxx]: \"<!DOCTYPE html>\\n<html lang=\\\"en-CA\\\" class=\\\"html_stretched responsive av-preloader-active av-preloader-enabled av-default-lightbox\"","status":403},"url":"https:\/\/acme-v02.api.letsencrypt.org\/acme\/chall-v3\/803008408\/k46kFQ","token":"vkTyLi2ApfP9O9ou8GyDz6WQmB--HP4ULnU0fhjXI0k","validationRecord":[{"url":"http:\/\/www.domain-name.com\/.well-known\/acme-challenge\/vkTyLi2ApfP9O9ou8GyDz6WQmB--HP4ULnU0fhjXI0k","hostname":"www.domain-name.com","port":"80","addressesResolved":["212.224.xxx.xxx"],"addressUsed":"212.224.xxx.xxx"},{"url":"http:\/\/domain-name.com\/.well-known\/acme-challenge\/vkTyLi2ApfP9O9ou8GyDz6WQmB--HP4ULnU0fhjXI0k","hostname":"domain-name.com","port":"80","addressesResolved":["212.224.xxx.xxx"],"addressUsed":"212.224.xxx.xxx"}]} [information] Let's Encrypt certificates have been updated  
    • peterpan
      How to trigger renewal of certificate?
      By peterpan
      Hi,
      I have a domain equipped with a certificate from LE. The cert is valid another 2 months. Now I added a domain as an alias of the existing domain, but the certificate isn't updated to have the new domain as its SAN.
      How do I trigger getting a new and updated certificate? Should I delete the existing one?
      Thanks for helping out.
       
      Peter
×
×
  • Create New...