私たちが実行することを余儀なくされる最も基本的なタスクの1つ, NextcloudとONLYOFFICEへのアクセスを保護するためになります, 特にインターネットを介して作業する予定の場合は. だから, このドキュメントでは、暗号化されていないHTTPトラフィックを安全なHTTPSトラフィックに置き換える方法について説明します, 最初にNextcloudの構成を確認し、最後にONLYOFFICEの構成を確認します.

Nextcloudへの安全なアクセスを可能にする,

ユーザーがNextcloudに安全にアクセスできるようにしたい場合, NextcloudのApacheサーバーに証明書をインストールする必要があります. このサービスには、すでにいくつかのFQDNを念頭に置いていると思います, したがって、証明書はそのドメイン名に対して有効である必要があります, またはワイルドカード証明書を使用すれば、それだけです! 私のシナリオでは、data.openservices.eusという名前を使用してNextcloudサーバーを参照し、明らかにパブリックゾーンとプライベートゾーンに対応するDNSエントリを作成します.

始める前に, 何が必要ですか? 証明書! それらを正しい形式で提示する必要があります, 証明書が必要です, 秘密鍵と CA 証明書チェーン. 簡単にお任せください, 別のサーバーで生成したPFXファイルがあると仮定します (たとえば、Windows上のIIS), SCPと一緒にサーバーにコピーします, それに加えて、発行エンティティの証明書のチェーンを使用してファイルを検索または作成する必要があります, 私たちの証明書プロバイダーは通常、その時点で😉私たちにそれを送ったでしょう

PFX ファイルからデタッチし、一方では公開証明書を取得し、もう一方では秘密キーを取得するには, この例では、それを行うことができます:

[ソースコード]openSSL PKCS12 -in Wildcard_Open_Services.pfx -clcerts -nokeys -out wildcard_open_services.cer
openSSL PKCS12 -in Wildcard_Open_Services.pfx -nocerts -nodes -out のwildcard_open_services.key[/ソースコード]

まず、SSLモジュールを有効にし、Nextcloudサイト構成ファイルを編集します.

[ソースコード]sudo a2enmod ssl[/ソースコード]

生成したばかりの証明書を Apache 証明書ディレクトリにコピーし、中間 CA のチェーン全体を含むファイルもコピーします:

[ソースコード]sudo cp wildcard_open_services.* /etc/apache2/ssl
sudo mv openservices_eus.ca-bundle /etc/apache2/ssl/cadena.crt[/ソースコード]

Apache セキュア・サイト構成の /etc/apache2/sites-enabled/default-ssl.conf ファイルを編集し、証明書を参照するエントリーを変更します, 秘密鍵と証明書チェーンへ:

[ソースコード]SSLCertificateFile /etc/apache2/ssl/wildcard_open_services.cer
SSLCertificateKeyFile /etc/apache2/ssl/wildcard_open_services.key
SSLCertificateChainFile /etc/apache2/ssl/cadena.crt[/ソースコード]

Apache の記録と再起動 & 安全なHTTPSを介してNextcloudサイトにアクセスできるようになったことを確認します:

[ソースコード]sudoサービスapache2の再起動[/ソースコード]

NextcloudのデフォルトサイトをApacheに配置する,

ところで, ユーザーが /nextcloud と入力するのを避けたい場合、そのサイトを Apache のデフォルトサイトとして設定する場合, サイトの /etc/apache2/sites-enabled/000-default.conf と /etc/apache2/sites-enabled/default-ssl.conf 設定ファイルを編集します, ルートの変更:

[ソースコード]ドキュメントルート /var/www/nextcloud[/ソースコード]

そして、Apacheを再起動しました!

[ソースコード]sudoサービスapache2の再起動[/ソースコード]

ONLYOFFICEへの安全なアクセスを可能にする,

Document Serverへのトラフィックとアクセスを保護したい場合, NginxにSSL証明書をインストールする必要があります, これは私たちが使用しているWebサーバーであり、HTTPSを使用して接続を暗号化します, さらに、最後に、後でこのシナリオをインターネットに開くことに興味がある場合に備えて、ポートを変更する方法を説明します.

以前と同じ, ONLYOFFICEには、Nginx固有の形式の証明書も必要です, 公開証明書は証明書フォルダに残す必要があります, 秘密鍵と、すべての中間CAまたはルートCAのチェーンを含む証明書.

PFXファイルから分離し、一方では公開証明書を取得し、秘密鍵を取得するために従った手順を覚えています:

[ソースコード]openSSL PKCS12 -in Wildcard_Open_Services.pfx -clcerts -nokeys -out wildcard_open_services.cer
openSSL PKCS12 -in Wildcard_Open_Services.pfx -nocerts -nodes -out のwildcard_open_services.key[/ソースコード]

さらに, 証明書の信頼性に問題が生じたくない場合, すべての CA のチェーンを使用して証明書ファイルを生成することをお勧めします, このようなものは、次のコマンドを取得するのに役立ちます, それは作成します 1 すべての証明書を含むファイル:

[ソースコード]cat /etc/ssl/certs/wildcard_open_services.cer openservices_eus.ca-bundle > wildcard_open_services_y_cadena.cer[/ソースコード]

生成されたファイルを証明書ディレクトリにコピーします, Nginxを停止します, 安全なONLYOFFICEアクセスのための設定ファイルを作成します:

[ソースコード]sudo cp wildcard_open_services.* /etc/ssl/certs/
sudoサービスnginx停止
sudo cp -f /etc/onlyoffice/documentserver/nginx/onlyoffice-documentserver-ssl.conf.template /etc/nginx/conf.d/onlyoffice-documentserver.conf[/ソースコード]

設定ファイルを編集し、証明書とその秘密鍵へのパスを追加します:

[ソースコード]sudo vim /etc/nginx/conf.d/onlyoffice-documentserver.conf
ssl_certificate /etc/ssl/certs/wildcard_open_services_y_cadena.cer;
ssl_certificate_key /etc/ssl/certs/wildcard_open_services.key;[/ソースコード]

ところで, ポートを変更したい場合は、そろそろ, 設定ファイル, あなたが聞くセクションを変更し、興味のあるポートを選択します:

[ソースコード]聞く 0.0.0.0:4443 SSLについて;
聞く [::]:4443 SSL default_server;[/ソースコード]

Nginxを再度起動し、新しいURLからアクセスできることを確認するだけで十分です, HTTPSを使用:// そして、指定したポートに:

[ソースコード]sudoサービスnginxスタート[/ソースコード]