Gestion redirections - ruTorrent/Nginx full HTTPS + Certificats signés

Ce site est optimisé pour être consulté depuis un navigateur moderne dans lequel JavaScript est activé.

Gestion redirections - ruTorrent/Nginx full HTTPS + Certificats signés

Streaming

Hello,

Étant donné le temps et les longs tests que j'ai fait avant d'en arriver là; j'ai pensé qu'il serait sympa de partager ce que j'ai mis en place avec mes recherches.
En préambule j'ai une connaissance avancée de Debian... pour un débutant ^^. Donc je ne serais peut être pas le plus à même de répondre à toutes les questions.

Il s'agit ici d'avoir un serveur ruTorrent fonctionnel avec toutes les requêtes redirigés en HTTPS et des certificats signés.

Prérequis / Environnement de l'installation:

- Machine sous Debian 8
- Nom de domaine
- rTorrent + ruTorrent avec Nginx avec le super tuto de Magicalex
- Certificat SSL signé et gratuit avec StartSSL avec le tuto de Jedediah
- Avoir des certificats pour son nom de domaine en www.NDD.TLD et NDD.TLD.
- Avoir un backup de son rutorrent.conf pour éviter de perdre du temps en cas de pépin !

Tout va se passer dans le fichier de configuration Nginx que vous devriez trouver dans /etc/nginx/sites-enabled et qui s'appelle rutorrent.conf

On créé un vHost ou server block pour diriger toutes les requêtes sur le port 80 (HTTP) vers du HTTPS (443):

server {
listen 80;
server_name www.ndd.tld ndd.tld;
return 301 https://ndd.tld$request_uri;
}

Ensuite un vHost qui écoute via le port 443 (HTTPS) sur https://www.ndd.tld et qui le dirige vers https://ndd.tld :

server {
listen 443 ssl;
server_name www.ndd.tld
ssl on;
ssl_certificate /etc/ssl/nginx/www.ndd.tld.crt-unified; (certificat issu du tuto de Jedebiah)
ssl_certificate_key /etc/ssl/nginx/server.key; (certificat issu du tuto de Jedebiah)
ssl_protocols TLSv1 TLSv1.1 TLSv1.2;
ssl_ciphers "EECDH+AESGCM:AES128+EECDH:AES256+EECDH";

ssl_prefer_server_ciphers on;
ssl_ecdh_curve secp384r1;

ssl_session_cache shared:SSL:10m;
ssl_session_timeout 10m;

ssl_stapling on;
ssl_stapling_verify on;

resolver 8.8.4.4 8.8.8.8 valid=300s;
resolver_timeout 10s;

add_header X-Frame-Options "SAMEORIGIN";
add_header X-Content-Type-Options "nosniff";

return 301 https://ndd.tld$request_uri;
}

Pour finir le vHost qui écoute sur https://ndd.tld :

server {
listen 443 ssl;
server_name ndd.tld;
charset utf-8;
index index.html index.php;
client_max_body_size 10M;

ssl on;
ssl_certificate /etc/ssl/nginx/ndd.tld.crt-unified; (certificat issu du tuto de Jedebiah)
ssl_certificate_key /etc/ssl/nginx/server.key; (certificat issu du tuto de Jedebiah)
ssl_protocols TLSv1 TLSv1.1 TLSv1.2;
ssl_ciphers "EECDH+AESGCM:AES128+EECDH:AES256+EECDH";

ssl_prefer_server_ciphers on;
ssl_ecdh_curve secp384r1;

ssl_session_cache shared:SSL:10m;
ssl_session_timeout 10m;

ssl_stapling on;
ssl_stapling_verify on;

resolver 8.8.4.4 8.8.8.8 valid=300s;
resolver_timeout 10s;

add_header X-Frame-Options "SAMEORIGIN";
add_header X-Content-Type-Options "nosniff";

access_log /var/log/nginx/rutorrent-access.log combined;
error_log /var/log/nginx/rutorrent-error.log error;

error_page 500 502 503 504 /50x.html;
location = /50x.html { root /usr/share/nginx/html; }

auth_basic "---------- Secured Access ----------";
auth_basic_user_file "/etc/nginx/passwd/rutorrent_passwd";

location = /favicon.ico {
access_log off;
log_not_found off;
}

A la suite de ça, vous devriez avoir la suite de la configuration de ruTorrent du tuto de Magicalex.

On enregistre et un petit:

service nginx restart

Concernant le SSL, j'ai changé la valeur (présente deux fois) "add_header X-Frame-Options "xxxXXXxxx";" de "DENY" à "SAMEORIGIN" afin de permettre de rajouter les torrents dans ruTorrent à partir de son pc sans erreur [28.04.2016 22:14:51] JS error: [https://www.ndd.tld/rutorrent/js/content.js : 72] Error: Permission denied to access property "document") et d'utiliser l'ajout de torrents sur le serveur (sinon la petite fenêtre reste blanche).

Ghostfly

Mon NGinx et rutorrent sont en HTTPS (et même HTTP2) et aucun souci à constater, sans avoir fait toutes les modifs que tu dis.. (Sauf le bloc server qui fait le 301 pour bloquer le non sécurisé)

En gros, c'est quoi le but de ces commandes ajoutées? J'ai l'impression qu'il y a un petit souci de logique là..

Tu peux combiner tes deux blocs server ensemble, server_name peut contenir plusieurs infos. Le www. dérange pas tant que ça, d'autant plus que certains utilisateurs y sont habitués.

Exemple :

server_name www.ndd.tld ndd.tld;

ça évite d'avoir deux blocs server quasi identiques et une redirection.

Sinon, je n'ai absolument pas ces lignes dans mon vHost ruTorrent, et aucun souci d'ajout :

add_header X-Frame-Options "SAMEORIGIN";
add_header X-Content-Type-Options "nosniff";

N'oublie pas le point virgule à server_name ça risque de planter. (dans ton second bloc server..)

Sinon si ça te dit un jour d'essayer Letsencrypt, StartSSL est un poil chiant je trouve en comparaison à mettre en place (surtout à cause de leur site en fait), pour pas mieux au final

Et enfin, essaye de comprendre ce que tu fais.. ça prend pas beaucoup plus de temps, et ça finit bien plus propre !

lokiii

Je suis désolé, c'est pas méchant, mais à quoi sert ce post ? c'est une synthèse des tuto d'install de nginx + rutorrent + certifs StartSSL, c'est ça ?

phlo

Pour info, c'est inutile de mettre tous les paramètres SSL dans les server { } si c'est juste pour du rewrite. Comme ça, ça marche aussi bien :

server {
    server_name www.domaine.fr domaine.fr;
    return 301 https://domaine.fr$request_uri;
}

server {
    listen 443 ssl;
    server_name www.domaine.fr;
    return 301 https://domaine.fr$request_uri;
}

server {
    listen 443 default_server ssl;
    server_name domaine.fr;

    ssl_certificate /chemin/vers/le/certif;
    ssl_certificate_key /chemin/vers/la/clef;

#... suite de la config

Le premier block sert à forcer le https, et retire le www s'il est appelé via http, et le second bloc permet de retirer le www si on appelle directement https://www
...oui c'est con d'être obligé d'utiliser deux blocs ...si les devs de nginx nous lisent, voilà...

Pour davantage de securité on peut inclure au début du bloc http { } ceci :

server {
                return 444;
        }

ça permet de virer toutes les requêtes qui ne viennent pas de votre nom de domaine (genre si un petit enfo*ré s'amuse à enregistrer un nom de domaine à la con vers votre IP, les requêtes provenant de ce nom de domaine n'aboutiront jamais.

Streaming

Ghostfly wrote:Mon NGinx et rutorrent sont en HTTPS (et même HTTP2) et aucun souci à constater, sans avoir fait toutes les modifs que tu dis.. (Sauf le bloc server qui fait le 301 pour bloquer le non sécurisé)

En gros, c'est quoi le but de ces commandes ajoutées? J'ai l'impression qu'il y a un petit souci de logique là..

Tu peux combiner tes deux blocs server ensemble, server_name peut contenir plusieurs infos. Le www. dérange pas tant que ça, d'autant plus que certains utilisateurs y sont habitués.

Exemple :
server_name www.ndd.tld ndd.tld;
ça évite d'avoir deux blocs server quasi identiques et une redirection.

Sinon, je n'ai absolument pas ces lignes dans mon vHost ruTorrent, et aucun souci d'ajout :
add_header X-Frame-Options "SAMEORIGIN";
add_header X-Content-Type-Options "nosniff";
N'oublie pas le point virgule à server_name ça risque de planter. (dans ton second bloc server..)

Sinon si ça te dit un jour d'essayer Letsencrypt, StartSSL est un poil chiant je trouve en comparaison à mettre en place (surtout à cause de leur site en fait), pour pas mieux au final

Et enfin, essaye de comprendre ce que tu fais.. ça prend pas beaucoup plus de temps, et ça finit bien plus propre !

Merci de ton retour, mais ton exemple à été une des premières façon de faire que j'ai trouvé et cela ne marche pas (Tout diriger vers HTTPS://NDD.TLD).
Tu as un NDD dessous ? Moi c'est la seule façon que j'ai trouvé de faire le job que je voulais.
Les deux blocs server quasi identiques on une utilité comme l'a noté "phlo".

La ligne "add_header X-Frame-Options "SAMEORIGIN";" est présente pour une question de sécurité. La valeur originale que j'avais suite au tuto de Jedediah était "DENY", et c'est avec cette dernière que le problème se posait. Du coup j'imagine bien que tu ne dois pas avoir de souci si tu n'as pas cette ligne puisqu'il me semble que ça revient au même que de la mettre avec la valeur "OPENBAR"

Je te laisse faire tes propres recherches sur le sujet; n'étant pas le plus à même de te l'expliquer.

Merci pour le point virgule oublié sur le post, je l'ai bien dans mon .conf, j'ai dû l'effacer en remplaçant mon vrai NDD par NDD.TLD

Si j'ai l'occasion j'irais voir Letsencrypt, mais je t'avoue que je n'ai pas eu trop de souci avec StartSSL côté process ou site, remarque je n'ai pas de point de comparaison puisque ce fût ma première fois. Je ne sais pas quand tu as essayé StartSSL mais le site à beaucoup changé depuis ce que j'ai vu des captures du tuto du Jedediah, c'est un chouilla plus simple et je n'ai pas eu de temps d'attente nul part.

Je pense avoir bien compris ce que je faisait, même s'il est vrai que je manquais un peu de sommeil. Un peu plus de temps ? Je n'en ai pourtant pas été avare pour gérer mes redirections et le HTTPS (plus de 5 heures)...
C'est d'ailleurs vérifié avec ma lecture de mon .conf suite à sa modification et au final avec le fonctionnement voulu et sans erreur de Nginx.

Même si j'ai un petit doute, je serais ravi d'échanger avec toi mon fichier .conf et que tu m'expliques comment tu aurais fais. Ou sinon tu le modifie, je le teste et je te dis si ça marche

lokiii wrote:Je suis désolé, c'est pas méchant, mais à quoi sert ce post ? c'est une synthèse des tuto d'install de nginx + rutorrent + certifs StartSSL, c'est ça ?

Ne t'excuse pas, je vais éditer mon titre, il est à chier ^^. En fait il s'agit de gérer correctement son NDD avec les certificats signés pour avoir tout redirigé proprement en HTTPS et sans message d'erreur ou problème de fonctionnement une fois ruTorrent installé et ses certificats signés.

phlo wrote:c'est inutile de mettre tous les paramètres SSL dans les server { } si c'est juste pour du rewrite

Je pense que c'est peut être parce que c'est du HTTPS mais si je fais comme tu as dis j'ai une erreur quand je charge NDD.TLD sous Firefox.
Du coup j'ai essayé en commentant les lignes des certificats ou "ssl on" seulement et ça ne marche pas plus.
Je l'avais fais comme ça par intuition, mais j'ai peut être fait bon par simple chance

Echec de la connexion sécurisée

Merci de tes explications pour ceux qui n'avaient pas compris.

Sinon pour la directive "return 444;" ça ne marche pas si je me connecte à NDD.TLD et ça me dirige vers www.NDD.TLD, tout le reste marche.

La connexion à étée réinitialisée

phlo

Streaming wrote:
phlo wrote:c'est inutile de mettre tous les paramètres SSL dans les server { } si c'est juste pour du rewrite
Je pense que c'est peut être parce que c'est du HTTPS mais si je fais comme tu as dis j'ai une erreur quand je charge NDD.TLD sous Firefox.
Du coup j'ai essayé en commentant les lignes des certificats ou "ssl on" seulement et ça ne marche pas plus.
Je l'avais fais comme ça par intuition, mais j'ai peut être fait bon par simple chance

Echec de la connexion sécurisée

Merci de tes explications pour ceux qui n'avaient pas compris.

Sinon pour la directive "return 444;" ça ne marche pas si je me connecte à NDD.TLD et ça me dirige vers www.NDD.TLD, tout le reste marche.

La connexion à étée réinitialisée

T'as essayé d'accéder à ton site via un onglet de navigation privée et/ou de vider tous les caches de Firefox (genre avec un coup de CCleaner) ? Car il a la fâcheuse tendance à être relou avec ça

Taguy

Moi j'aurais mis un

https://$server_name$request_uri;

au lieu de

https://ndd.tld$request_uri;

Comme ca, le jour ou on change le nom de domaine,
On peut aussi mettre

$host

http_host

, je ne sais plus quelle est la différence entre les trois..

Streaming

phlo wrote: T'as essayé d'accéder à ton site via un onglet de navigation privée et/ou de vider tous les caches de Firefox (genre avec un coup de CCleaner) ? Car il a la fâcheuse tendance à être relou avec ça 😀

Vi vi, je fait avec la navigation privée que je ferme et ouvre à nouveau à chaque modif. Effectivement j'avais pu remarquer que c'était mal géré sinon.

@ Taguy:
J'ai regardé un peu et je ne suis pas sûr d'avoir bien compris les différences entres les 3, ce que j'ai retenu c'est que ça risque de m’embêter avec ce que j'ai en http sur d'autres ports, à moins que server_name soit spécifié dans Nginx.

What's the difference of $host and $http_host in Nginx

What is the difference between Nginx variables $host, $http_host, and $server_name?

Taguy

Server_name est sûr, tu le definis toi même