Una de las tareas más básicas que nos veremos obrigados a realizar, será el securizar los accessos a Nextcloud y a ONLYOFFICE, sobre todo si pensamos trabalhar a través de Internet. Então, en este documento veremos como substituir o tráfico no cifrado HTTP por um seguro com HTTPS, veremos inicialmente la configuración para Nextcloud y finalmente sobre ONLYOFFICE.

Habilitando acessos seguros ao Nextcloud,

Se quisermos que os utilizadores acedam ao Nextcloud de forma segura, teremos de instalar um certificado no servidor Apache do nosso Nextcloud. Suponho que já teremos pensado em algum FQDN para este serviço, portanto, o certificado deve ser válido para esse nome de domínio, ou usar um certificado Wildcard e pronto! No meu cenário utilizarei o nome dados.openservices.eus para me referir ao servidor Nextcloud e obviamente criarei a entrada DNS correspondente na zona pública e privada.

Antes de começar, o que precisamos? Os certificados! Devemos apresentá-los no formato adequado, temos de ter o certificado, a sua chave privada e a cadeia de certificados das CA. Faremos de forma fácil, suponiendo que yo tengo un fichero PFX que en su día generé en otro servidor (IIS en Windows por ejemplo), lo copiaremos con SCP al servidor, y además de eso tenemos que buscar o hacer un fichero con la cadena de los certificados de las entidades emisoras, que normalmente o nosso provedor de certificados nos lo habrá mandado no seu dia 😉

Para separar de un fichero PFX y obter el certificado público por un lado y la clave privada por outro, podremos hacerlo con este exemplo:

[Código-fonte]openssl pkcs12 -in Wildcard_Open_Services.pfx -clcerts -nokeys -out wildcard_open_services.cer
openssl pkcs12 -in Wildcard_Open_Services.pfx -nocerts -nodes -out wildcard_open_services.key[/Código-fonte]

Comenzamos habilitando el módulo de SSL y editamos el fichero de configuración del sitio de Nextcloud.

[Código-fonte]sudo a2enmod ssl[/Código-fonte]

Copiamos los certificados que acabamos de generar al directorio de certificados de Apache además del fichero con toda la cadena de las CA intermedias:

[Código-fonte]sudo cp wildcard_open_services.* /etc/apache2/ssl
sudo mv openservices_eus.ca-bundle /etc/apache2/ssl/cadena.crt[/Código-fonte]

Editamos el fichero /etc/apache2/sites-enabled/default-ssl.conf de configuração del sitio seguro de Apache y modificamos las entradas que hacen referencia al certificado, a la clave privada y a la cadena de certificados:

[Código-fonte]SSLCertificateFile /etc/apache2/ssl/wildcard_open_services.cer
SSLCertificateKeyFile /etc/apache2/ssl/wildcard_open_services.key
SSLCertificateChainFile /etc/apache2/ssl/cadena.crt[/Código-fonte]

Grabamos y reiniciamos Apache & validamos que ya podremos acceder al sitio de Nextcloud mediante https seguro:

[Código-fonte]Sudo Service Apache2 Reiniciar[/Código-fonte]

Poner el sitio predeterminado de Nextcloud en Apache,

A propósito, si queréis evitar que vuestros usuarios tengan que teclear /nextcloud y hacer por tanto dicho sitio como el predeterminado en Apache, editaremos los ficheros de configuración /etc/apache2/sites-enabled/000-default.conf y /etc/apache2/sites-enabled/default-ssl.conf de los sitios, modificando la ruta:

[Código-fonte]DocumentRoot /var/www/nextcloud[/Código-fonte]

E reiniciamos o Apache!

[Código-fonte]Sudo Service Apache2 Reiniciar[/Código-fonte]

Habilitando acessos seguros a ONLYOFFICE,

Si queremos securizar el tráfico y los acessos a Document Server, deberemos instalar un certificado SSL en Nginx, que es el servidor web que estamos a usar e assim cifrar sus conexões usando HTTPS, además al final veremos como mudar o porto por si nos interessassem a posteriori abrir este cenário a Internet.

Igual que antes, ONLYOFFICE también necesita tener los certificados en el formato específico de Nginx, tenemos que dejar en la carpeta de certificados el certificado público, la clave privada y un certificado con la cadena de todas las CA intermedias o de raíz.

Recordamos los pasos seguidos para separar de un fichero PFX y obter el certificado público por un lado y la clave privada:

[Código-fonte]openssl pkcs12 -in Wildcard_Open_Services.pfx -clcerts -nokeys -out wildcard_open_services.cer
openssl pkcs12 -in Wildcard_Open_Services.pfx -nocerts -nodes -out wildcard_open_services.key[/Código-fonte]

Além disso, si no queremos tener problemas de confiança del certificado, se recomenda gerar o ficheiro do certificado com a cadeia de todas as CA, algo assim nos pode ajudar a obter o próximo comando, que creará 1 fichero con todos los certificados:

[Código-fonte]cat /etc/ssl/certs/wildcard_open_services.cer openservices_eus.ca-bundle > wildcard_open_services_y_cadena.cer[/Código-fonte]

Copiamos los ficheros generados al directorio de certificados, paramos Nginx, y creamos un fichero de configuración para acceso a ONLYOFFICE seguro:

[Código-fonte]sudo cp wildcard_open_services.* /etc/ssl/certs/
sudo service nginx stop
sudo cp -f /etc/onlyoffice/documentserver/nginx/onlyoffice-documentserver-ssl.conf.template /etc/nginx/conf.d/onlyoffice-documentserver.conf[/Código-fonte]

Editamos el fichero de configuración y le añadimos la ruta al certificado y a su clave privada:

[Código-fonte]sudo vim /etc/nginx/conf.d/onlyoffice-documentserver.conf
ssl_certificate /etc/ssl/certs/wildcard_open_services_y_cadena.cer;
ssl_certificate_key /etc/ssl/certs/wildcard_open_services.key;[/Código-fonte]

A propósito, es momento si queremos cambiarle el puerto, el el fichero de configuración, modificaremos la sección donde escucha y seleccionamos el puerto que nos interese:

[Código-fonte]listen 0.0.0.0:4443 SSL;
listen [::]:4443 ssl default_server;[/Código-fonte]

Bastará con arrancar de nuevo Nginx y verificar que podemos acceder por la nueva URL, con https:// y al puerto que hayamos especificado:

[Código-fonte]sudo service nginx start[/Código-fonte]