Nginx web manager

[darebacik]

Aky pouzivate web manager pre server nginx? Zatial som konfiguraciu riesil cez terminal, ale pri web manazmente to bude asi jednoduchsie a odpadaju aj konfiguracne chyby a pod.
Nie som zastancom dockera, ale ked je to vhodnejsie, tak to spolknem.
 

[Reklama]

[alex6bbc]

dycinky manual, ani nevim, ze jsou nejake klikaci konfiguratory.

[robac]

Zatial som konfiguraciu riesil cez terminal, ale pri web manazmente to bude asi jednoduchsie a odpadaju aj konfiguracne chyby a pod.

Asi ti nezbyde nic jineho, než se to naučit...

[sepiak]

Co takový ISP Config? Pro zakládání/správu webů je to dobrý nástroj.

[darebacik]

Nestazujem sa, ze to konfigurujem cez nano editor, ale mozno bude menej prace cez web. Nasiel som zatial tento manager a ak bude viac casu, tak to testnem. Nginx prevadzkujem len ako reverzny proxy v domacich podmienkach a saham do toho minimalne (obcas pri zalozeni novej domeny).

[Reklama]

[3ugeene]

Npm pouzivam a je super, je to ale jen proxy, na nastavovanim nginx aplikaci jako takovych to neni

[robac]

Nginx prevadzkujem len ako reverzny proxy...

Nejaky duvod, proc toto nebylo zmineno uz v dotazu?

[matusK]

Nginx proxy manager moc nedoporucuju - pouzival jsem ho a naopak presel na rucni psani konfiguraku.
Duvodu je nekolik:
1 - vyvoj docela stagnuje, vetsinou ma zastaralou verzi nginx
2 - chybicky v UI - nekdy je potreba vic krat kliknout, aby se zmeny propsaly, udelat neco 2x a podobne
3 - chyba co me otravovala asi nejvic - obnova let's encrypt na internich domenach nefungovala. Prvni vystaveni certifikatu bylo v pohode, automaticka obnova ale neprobehla, musel jsem vzdycky oznacit domenu za verejnou, obnovit cert. a zpatky nastavit jako interni (nyni bych to uz umel obejit custom konfiguraci)

Mozna je neco z toho uz opraveno, ale kdyz jsem se naucil syntaxi konfiguraku, tak to uz moc nechci zkouset.

[darebacik]

Nginx prevadzkujem len ako reverzny proxy...

Nejaky duvod, proc toto nebylo zmineno uz v dotazu?

Zabudol som to napisat 

Nginx proxy manager moc nedoporucuju - pouzival jsem ho a naopak presel na rucni psani konfiguraku.
Duvodu je nekolik:
1 - vyvoj docela stagnuje, vetsinou ma zastaralou verzi nginx
2 - chybicky v UI - nekdy je potreba vic krat kliknout, aby se zmeny propsaly, udelat neco 2x a podobne
3 - chyba co me otravovala asi nejvic - obnova let's encrypt na internich domenach nefungovala. Prvni vystaveni certifikatu bylo v pohode, automaticka obnova ale neprobehla, musel jsem vzdycky oznacit domenu za verejnou, obnovit cert. a zpatky nastavit jako interni (nyni bych to uz umel obejit custom konfiguraci)

Mozna je neco z toho uz opraveno, ale kdyz jsem se naucil syntaxi konfiguraku, tak to uz moc nechci zkouset.

Myslis internu subdomenu (zastupny cert). napr. *.verejna-domena.com ?
Ako ti moze LE vystavit cert na co nevidi ?
Ja mam par internych subdomen a obnovoval som cez dns-01 challenge, ale cisto internu domenu ?

[matusK]

Myslis internu subdomenu (zastupny cert). napr. *.verejna-domena.com ?

Ano, na taketo interne subdomeny.

Ako ti moze LE vystavit cert na co nevidi ?
Ja mam par internych subdomen a obnovoval som cez dns-01 challenge, ale cisto internu domenu ?

Let's encrypt sa dotazuje na konkretnu url: http://<YOUR_DOMAIN>/.well-known/acme-challenge/<TOKEN>
takze staci mat v konfiguracii nieco ako

Kód: [Vybrat]

location /.well-known/acme-challenge/ {
    allow all;
}
location /
{
    allow <trusted ip>;
}

Potom automaticka obnova funguje bez dalsich zasahov aj cez http challenge.

[Bugsa]

Pokud vyloženě netrváš na Nginx, tak bys mohl zkusit Caddy. Konfigurace je maximálně jednoduchá a automaticky se stará o získání/aktualizaci Let's Encrypt.

Konfigurace pro reverse proxy interní site je naprosto triviální:

Kód: [Vybrat]

moje.interni.site.cz {
@denied not remote_ip private_ranges
respond @denied 404

reverse_proxy http://127.0.0.1:8500
}


[darebacik]

Let's encrypt sa dotazuje na konkretnu url: http://<YOUR_DOMAIN>/.well-known/acme-challenge/<TOKEN>
takze staci mat v konfiguracii nieco ako

Kód: [Vybrat]

location /.well-known/acme-challenge/ {
    allow all;
}
location /
{
    allow <trusted ip>;
}

Potom automaticka obnova funguje bez dalsich zasahov aj cez http challenge.

Ja som to pochopil tak,  ze ak sa jedna o subdomain, ktora je len interna, tak sa vydava zastupny cert. (*), ale len pomocou dns-01-challenge. Tam sa pise, ze LE poskytne klientovy token z ktoreho klient generuje txt record. Ten sa umiestni na DNS a LE overi, ci sa to zhoduje. Ak je to OK, potom sa vyda cert.
Ked ma clovek radovo jednotky domen, tak si to spravi rucne. Ak je domen viac, tak DNS server by mal mat nejake API a txt zaznam uklada na DNS automaticky skript.
Je to mozne spravit aj inak a jednoduchsie bez dns challenge?

[Filip Jirsák]

Ja som to pochopil tak,  ze ak sa jedna o subdomain, ktora je len interna, tak sa vydava zastupny cert. (*), ale len pomocou dns-01-challenge. Tam sa pise, ze LE poskytne klientovy token z ktoreho klient generuje txt record. Ten sa umiestni na DNS a LE overi, ci sa to zhoduje. Ak je to OK, potom sa vyda cert.
Ked ma clovek radovo jednotky domen, tak si to spravi rucne. Ak je domen viac, tak DNS server by mal mat nejake API a txt zaznam uklada na DNS automaticky skript.
Je to mozne spravit aj inak a jednoduchsie bez dns challenge?

Hvězdičkový certifikát od Let's Encrypt získáte jedině přes dns01. Musíte prokázat, že jste vlastníkem celé domény – to přes ověřování založené na komunikaci s HTTP serverem nedokážete.

Jak už tu bylo řečeno, pokud chcete automatickou správu certifikátů, doporučuju Caddy. Podporuje dns-01 výzvu, umí se napojit na API různých DNS poskytovatelů, podporuje i hvězdičkové certifikáty.

[darebacik]

Ten caddy asi vyskusam, udajne by mal byt na tom lepsie ako nginx v roly rev. proxy