Блог

Главная - Вопросы по программированию - SSL для bitnami CouchDB, размещенной в инстансе AWS

SSL для bitnami CouchDB, размещенной в инстансе AWS

#amazon-web-services #ssl #openssl #couchdb

#amazon-веб-сервисы #ssl #openssl #couchdb

Вопрос:

Я создал экземпляр с CouchDB из bitnami. Вот ссылка https://bitnami.com/stack/couchdb

он отлично работает на HTTP. Но я хочу, чтобы он работал на https, для этого я использовал это руководство для создания самоподписанной сертификации : https://docs.bitnami.com/oci/infrastructure/couchdb/administration/create-ssl-certificate-couchdb/

и их руководство по включению его на сервере: https://docs.bitnami.com/oci/infrastructure/couchdb/administration/enable-ssl/

Это мой раздел SSL в /opt/bitnami/couchdb/etc/local.ini 

 `[ssl]
port = 6984
enable = true
cert_file = /opt/bitnami/couchdb/etc/server.crt
key_file = /opt/bitnami/couchdb/etc/server.key
;password = somepassword
; set to true to validate peer certificates
;verify_ssl_certificates = false
; Set to true to fail if the client does not send a certificate. Only used if verify_ssl_certificates is true.
;fail_if_no_peer_cert = false
; Path to file containing PEM encoded CA certificates (trusted
; certificates used for verifying a peer certificate). May be omitted if
; you do not want to verify the peer.
;cacert_file = /full/path/to/cacertf
; The verification fun (optional) if not specified, the default
; verification fun will be used.
;verify_fun = {Module, VerifyFun}
; maximum peer certificate depth
;ssl_certificate_max_depth = 1`

Пожалуйста, дайте мне знать, какую еще информацию я должен предоставить. Заранее спасибо, я обдумывал это уже неделю!

это журнал из curl -a -k mydomain.com

 `* Expire in 1 ms for 1 (transfer 0x55b57b804f50)
*   Trying 3.85.5.117...
* TCP_NODELAY set
* Expire in 200 ms for 4 (transfer 0x55b57b804f50)
* Connected to data.posifier.com (3.85.5.117) port 6984 (#0)
* ALPN, offering h2
* ALPN, offering http/1.1
* successfully set certificate verify locations:
*   CAfile: none
  CApath: /etc/ssl/certs
* TLSv1.3 (OUT), TLS handshake, Client hello (1):
* OpenSSL SSL_connect: SSL_ERROR_SYSCALL in connection to data.posifier.com:6984
* Closing connection 0
curl: (35) OpenSSL SSL_connect: SSL_ERROR_SYSCALL in connection to data.posifier.com:6984`

Комментарии:

1. Та же проблема, вы ее решили?

2. Да, у меня есть. В принципе, после нескольких недель попыток я использовал Nginx для обратного подключения прокси к порту couch. Это, безусловно, самое простое решение, которое когда-либо работало. Я следовал этому руководству: https://www.digitalocean.com/community/tutorials/how-to-secure-nginx-with-let-s-encrypt-on-ubuntu-18-04 Просто измените свою операционную систему в этом сообщении. Дайте мне знать, если вам понадобится дополнительная помощь (я использовал это руководство для настройки Nginx с SSL на AWS)

3. Я нашел решение, нет необходимости использовать Nginx.

Ответ №1:

Для правильной работы SSL вам необходимо иметь (как минимум) самозаверяющий сертификат. В вашем конфигурационном файле у вас есть строка cacert_file = / full /path/to/cacertf с комментарием.

Я написал пошаговое руководство, чтобы заставить его работать.

Взгляните сюда