【已完成】反向代理和SSL续签冲突的问题

问题：
创建了一个新的域名，并且使用了免费的Let's Encrypt证书，证书申请成功后，又开启了apache的反向代理将当前域名映射到docker的其他端口上。此时再对证书进行续签的时候，就会续签失败，无论是自动还是手动。

建议：
续签的时候，应该现禁用反向代理，续签成功后再恢复

+1，说什么这项功能会侵权，宝塔做的不要脸的事还少吗

您好，暂时不考虑取消，需要用户手动取消反向代理比较好。

大炮运维V587 发表于 2021-3-4 14:14
您好，暂时不考虑取消，需要用户手动取消反向代理比较好。

因为证书只有90天的有效期，这就意味着如果开启了反向代理，自动续期就是实效的，其实如果官方改动我感觉并不是特别大，记录下关闭反向代理前的状态，等续期结束后，再自动开启就行了

aishlai 发表于 2021-3-5 13:17
因为证书只有90天的有效期，这就意味着如果开启了反向代理，自动续期就是实效的，其实如果官方改动我感觉 ...

您好，这种去自动修改用户网站配置的行为属于侵权，不考虑这样做的

大炮运维V587 发表于 2021-3-5 15:36
您好，这种去自动修改用户网站配置的行为属于侵权，不考虑这样做的

亲，为什么反向代理之后就不能自动续签了？隔壁appnode都可以，几个月我还得手动搞一次，太麻烦了

信者得救 发表于 2021-7-20 11:07
亲，为什么反向代理之后就不能自动续签了？隔壁appnode都可以，几个月我还得手动搞一次，太麻烦了 ...

你要看验证方式的，如果是DNS方式验证的话，使用反向代理、CDN对续签的影响不大，文件验证，ca是要验证你的域名解析地址，去解析地址所在的服务器验证文件，你进行反代了，实际解析所在服务器上是没有验证文件的

大炮运维V587 发表于 2021-7-20 11:17
你要看验证方式的，如果是DNS方式验证的话，使用反向代理、CDN对续签的影响不大，文件验证，ca是要验证你 ...

我寻思，我直接手写ng反代，然后直接申请ssl不知可不可行

解决办法：
在站点修改>配置文件>引用反向代理配置前一行添加：

location ~ /.well-known {
    root  /www/wwwroot/www.xxxx.cn;
}
验证
访问一下你网站 https://www.xxxx.cn/.well-known/ 路径出现nginx403就好了
再尝试续签能正常完成即可。

大炮运维V587 发表于 2021-3-5 15:36
您好，这种去自动修改用户网站配置的行为属于侵权，不考虑这样做的

我认为增加这项功能并不会导致宝塔支持侵权行为，正是这个功能有需求才是用户所需要的。

例如我自己在内网环境架设一台jitsi服务器和rocketchat服务器，两项服务都需要使用443端口使用HTTPS，但公网IP只有一个，证书也只有一个，域名也只有一个。这种情况下我们没法使用同一个IP服务进行两项HTTPS服务，因此nginx的反代功能尤为重要。

如果想要防止其他用户恶意解析并反代网站，需要的功能是SNI。

感谢1499611509eqmz1提供的解决方案。

skyme 发表于 2022-8-12 13:02
我认为增加这项功能并不会导致宝塔支持侵权行为，正是这个功能有需求才是用户所需要的。

例如我自己在内 ...

我们不会去修改用户现有配置的，如果想正常在反代情况下使用续签功能，使用DNS验证方式是比较可靠的方案。