Во-первых, позвольте мне начать с «предупреждения», что я новичок в этом и пытаюсь научиться самостоятельно. Однако мое разочарование нарастает, и я почти готов полностью отказаться от SSL. (Я знаю, что это небезопасно, но, возможно, это мой единственный выбор.)
Мне нужно построить сервер на замену с лаком и заминкой, но я часами борюсь, пытаясь заставить заминку распознать любой Сертификат SSL, который я получил / сгенерировал. (Так как это должно быть нулевой стоимостью, я использую только SSLforFree - но даже пробовал использовать самоподписанный SSL с истекшим сроком действия с моего старого сервера лакирования / сцепления, который необходимо удалить.)
Я думаю, что лак работает правильно и настроен для прослушивания порта 6081 (если я правильно прочитал эту строку из моего вывода netstat) -
tcp 0 0 0.0.0.0:6081 0.0.0.0:* LISTEN 6059/varnishd
..... и я думаю, что новый файл hitch.conf выглядит правильно (имя файла .pem замаскировано, но я подтвердил, что он существует с разрешениями 644) -
[root@cache2 pem]# cat /etc/hitch/hitch.conf
# Run 'man hitch.conf' for a description of all options.
pem-file = "/var/pem/xxxxxxx.com.pem"
frontend = {
host = "*"
port = "443"
}
backend = "[127.0.0.1]:6081" # 6086 is the default Varnish PROXY port.
workers = 1 # number of CPU cores
daemon = on
# We strongly recommend you create a separate non-privileged hitch
# user and group
user = "hitch"
group = "hitch"
# Enable to let clients negotiate HTTP/2 with ALPN. (default off)
# alpn-protos = "h2, http/1.1"
# run Varnish as backend over PROXY; varnishd -a :80 -a localhost:6086,PROXY ..
write-proxy-v2 = on # Write PROXY header
но когда я "заминка-т", я получаю -
No x509 certificate PEM file specified for frontend 'default'!
Я знаю, что делаю что-то неправильно, но я еще не нашел в сети ничего, что помогло бы мне устранить проблему. Поскольку мой старый самоподписанный файл SSL .pem тоже не работал (и он отлично работает на моем старом сервере), я почти уверен, что испортил конфигурацию зацепа.
Мое "Спасибо!" заранее для любой помощи.
Вы добавили ключ в файл сертификата?
Убедитесь, что каждый элемент пути к файлу xxxxxxx.com.pem имеет права доступа (выполнение), которые позволят пользователю зацепиться за него. Каталог / var должен быть правильным на 755. Вы могли бы установить 755 на pem, но лучшим решением было бы изменить групповое владение на hitch и установить 750 разрешений.
Как только вы заставите его работать, вы также должны изменить владельца xxxxxxx.com.pem и настроить соответствующие разрешения, чтобы он не был доступен для чтения всем.