Ho visto alcuni tutorial che spiegano come farlo, ma in modi diversi, il che non mi aiuta. Esiste un modo per creare una configurazione di virtual host Apache per Discourse in modo che un dominio specifico reindirizzi al software, proprio come si fa per altri siti web e i rispettivi domini?
Grazie.
SĂŹ. Quei tutorial spiegano come fare.
Oppure, se intendi se puoi eseguire Discourse senza Docker e con Apache come proxy inverso, la risposta è no.
Per 5 dollari al mese puoi evitare quel problema.
Grazie per la risposta.
Lo sto eseguendo su un VPS. Ho Apache installato e non sono molto esperto di siti web. Sto guardando questo: Run other websites on the same machine as Discourse
Ma con questa soluzione sembra che debba usare Nginx a causa dei file di configurazione, quindi la mia domanda è: posso fare la stessa cosa con Apache?
Dai unâocchiata a Set up Discourse on a server with existing Apache sites
SĂŹ, stavo guardando anche quello. Ne ha parlato per CentOS e non per Ubuntu, alcune parti non mi sono chiare.
Se non ti è familiare (e non vuoi diventarlo), ti consiglio vivamente di abbandonare Apache e far girare solo Discourse sulla VPS. Se hai bisogno di eseguire altre cose, procurati una VPS per le funzionalitĂ di Apache e unâaltra per Discourse.
Quindi sono passato a Nginx e tutto funziona. Credo che SSL sia configurato correttamente, ma su Chrome ricevo il messaggio âLa tua connessione a questo sito non è completamente sicuraâ. Lâopzione Forza HTTPS è attiva.
LâSSL è configurato con il servizio nginx allâinterno del container. Se il container è esposto a Internet e vi accedete direttamente dal browser (installazione predefinita di Discourse), avrete lâSSL.
Tuttavia, se mettete un proxy inverso davanti ad esso (sia esso Apache, Nginx o un servizio di terze parti come Cloudflare), dovrete assicurarvi che la connessione tra il browser e il proxy inverso sia sicura.
Quindi, nel vostro caso, dovrete generare certificati per il proxy inverso nginx (non credo sia necessario aggiungere i template SSL di Discourse, poichÊ il container non è esposto direttamente a Internet; potete farlo, ma non è obbligatorio).
Potete consultare come farlo utilizzando Letâs Encrypt (gratuito, lo stesso utilizzato nellâinstallazione predefinita di Discourse, ma in questo caso per nginx esterno al container).
TL;DR Il nginx che funge da proxy inverso necessita di SSL. Il nginx allâinterno del container non ha bisogno di SSL (assumendo che lâaccesso avvenga dalla stessa macchina).
Quindi, per garantire la sicurezza tra browser e reverse proxy, devo configurare SSL nel file di configurazione di nginx?
Grazie
Ecco la mia configurazione, cosa altro devo aggiungere?
server {
listen 80; listen [::]:80;
server_name a1rp.xyz; # â modifica questo
return 301 https://$host$request_uri;
}
server {
listen 443 ssl http2; listen [::]:443 ssl http2;
server_name a1rp.xyz; # â modifica questo
ssl on;
ssl_certificate /var/discourse/shared/standalone/ssl/a1rp.xyz.cer;
ssl_certificate_key /var/discourse/shared/standalone/ssl/a1rp.xyz.key;
ssl_dhparam /var/discourse/shared/standalone/ssl/dhparams.pem;
ssl_session_tickets off;
ssl_ciphers ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:DHE-DSS-AES128-GCM-SHA256:kEDH+AESGCM:ECDHE-RSA-AES128-SHA256:ECDHE-ECDSA-AES128-SHA256:ECDHE-RSA-AES128-SHA:ECDHE-ECDSA-AES128-SHA:ECDHE-RSA-AES256-SHA384:ECDHE-ECDSA-AES256-SHA384:ECDHE-RSA-AES256-SHA:ECDHE-ECDSA-AES256-SHA:DHE-RSA-AES128-SHA256:DHE-RSA-AES128-SHA:DHE-DSS-AES128-SHA256:DHE-RSA-AES256-SHA256:DHE-DSS-AES256-SHA:DHE-RSA-AES256-SHA:ECDHE-RSA-DES-CBC3-SHA:ECDHE-ECDSA-DES-CBC3-SHA:AES128-GCM-SHA256:AES256-GCM-SHA384:AES128-SHA256:AES256-SHA256:AES128-SHA:AES256-SHA:AES:CAMELLIA:DES-CBC3-SHA:!aNULL:!eNULL:!EXPORT:!DES:!RC4:!MD5:!PSK:!aECDH:!EDH-DSS-DES-CBC3-SHA:!EDH-RSA-DES-CBC3-SHA:!KRB5-DES-CBC3-SHA;
http2_idle_timeout 5m; # aumentato da 3m, valore predefinito
location / {
proxy_pass http://unix:/var/discourse/shared/standalone/nginx.http.sock;
proxy_set_header Host $http_host;
proxy_http_version 1.1;
proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
proxy_set_header X-Forwarded-Proto https;
proxy_set_header X-Real-IP $remote_addr;
}
}
Assicurati di:
templates (in app.yml). Se stai utilizzando Letâs Encrypt, ne avrai due:# - "templates/web.ssl.template.yml"
# - "templates/web.letsencrypt.ssl.template.yml"
- "templates/web.socketed.template.yml"
# - "80:80" # http
# - "443:443" # https
(in alternativa, puoi esporre altre porte come 8080:80 e 8443:443 e, invece di utilizzare un socket nel passaggio successivo, puoi reindirizzare a un upstream che punta a localhost:80 e/o localhost:443)
proxy_pass http://unix:/var/discourse/shared/standalone/nginx.http.sock;
Penso che tu debba aggiungere : alla fine del socket:
proxy_pass http://unix:/var/discourse/shared/standalone/nginx.http.sock:;
/var/discourse/shared/standalone/ssl/. Li hai? Presumo che tu possieda giĂ il dominio a1rp.xyz e che tu abbia letto come generare i certificati SSL sul sito di Letâs Encrypt. Tieni inoltre presente che, nellâinstallazione predefinita, Discourse gestisce automaticamente il rinnovo dei certificati, ma nel tuo caso dovrai occupartene tu (ad esempio con un cronjob), altrimenti i certificati scadranno dopo 3 mesi.Vedi:
SĂŹ, ho tutto ciò che hai detto di fare nella configurazione dellâapp (incluso il post che corregge alcune cose). Per quanto riguarda il :, non credo faccia differenza. Câera anche un post che diceva che non dovrebbe esserci un : lĂŹ. I file SSL li ho giĂ anchâio.
Quindi ho risolto il problema. Qualcuno ha menzionato che lâicona del sito (favicon) appariva in http, ed è per questo che si verificava lâerrore. Ho caricato qualcosâaltro e lâho eliminato; ora il sito è completamente https 