Utilizar o SSL Gateway
461 visualizações
01.12.2022 
Web / SSL Gateway
Generalidades
Pre-requisitos
- Ter encomendado um serviço SSL Gateway.
- Ter acesso ao seu Espaço Cliente Sunrise.
Utilizacao
Vamos ver agora como utilizar o seu serviço SSL Gateway
Configuracao do servico
- Ligue-se ao seu Espaço Cliente.
- Clique de seguida na secção
Sunrise.
- Clique de seguida em
SSL Gatewaypara poder consultar o serviço.
- Selecione a oferta que deseja configurar.
- Chegará então à página de gestão da sua oferta.
- Descrição das informações.
| Campo | Descrição |
|---|---|
| IPv4 | Endereço IPv4 da gateway OVHcloud para o qual deve apontar |
| IPv6 | Endereço IPv6 da gateway OVHcloud para o qual deve apontar |
| Zone | Zona geográfica do endereço IP do seu SSL Gateway |
| IPv4 de saída | Endereços IPv4 OVHcloud que se ligarão ao seu servidor |
| Oferta | Tipo de oferta subscrita |
| Documentação | Link para este guia de utilização |
| Estado | Estado do seu serviço SSL Gateway |
| Data de expiração | Data de expiração do seu serviço SSL Gateway |
| Cancelar | Botão para solicitar a rescisão do seu serviço SSL Gateway |
| Migrar para a oferta Advanced | Permite a migração da oferta Free para a oferta Advanced |
- Descrição da configuração
| Campo | Descrição |
|---|---|
| Configuração | Botão que permite modificar a configuração do seu serviço SSL Gateway |
| HSTS [1] | Obriga o browser a efetuar as suas próximas ligações ao seu website via HTTPS |
| Reverse | Permite atribuir um domínnio/subdomínio ao seu endereço IP IP SSL Gateway |
| Reencaminhamento HTTPS [2] | Reencaminha o visitante para a versão HTTPS do seu website quando ele acede via HTTP |
| Servidor HTTPS [3] | Ativa o HTTPS entre o servidor SSL Gateway e o seu servidor |
| Restrição dos endereços IP source | Se o campo está preenchido, apenas os endereços IP ou redes específicas podem ligar-se ao SSL Gateway |
| Configuração dos ciphers [4] | Permite escolher um nível de segurança para o seu certificado SSL/TLS |
[1] - (1) Mais informações sobre o HSTS.
[2] - (1) Após ter verificado que o seu website funciona corretamente com o protocolo HTTPS, é possível que encaminhe todo o tráfego HTTP para HTTPS. É no entanto recomendado que aguarde 24h antes de apontar o seu domínio para a oferta SSL Gateway antes de efetuar esse reencaminhamento, de forma a que os visitantes do seu website tenham a nova configuração DNS funcional.
[3] - (1) Permite tornar seguro do "inicio ao fim" a ligação. O servidor SSL Gateway irá ligar-se ao seu servidor a partir da porta standard de HTTPS, a porta 443. Atenção, é obrigatório que disponha de um certificado SSL/TLS no seu servidor para poder ativar esta opção. Sem isso, o seu website não irá funcionar. Não é no entanto necessário que esse certificado tenha sido renovado no seu servidor.
[4] - (1) O nível mais elevado trará melhores proteções mas poderá não funcionar com os browsers mais antigos.
Configuracao do dominio
O bloco seguinte compreende 4 separadores:
- Domínios
- Servidores
- Trabalhos
- Gráficos
O separador "Domínios" permite adicionar e eliminar os seus domínnios e subdomínios ao seu SSL Gateway.
- Clique em
+ Domíniopara poder adicionar um domínio ou subdomínio.
| Nome | URL |
|---|---|
| Domínio | example.com |
| Subdomínio www | www.example.com |
| Subdomínio à escolha | blog.example.com |
Oferta Free: Apenas os domínios até 3 níveis (www.example.org) são autorizados.
Oferta Advanced: Será possível adicionar o domínio e subdomínio que desejar, incluindo domínios de 4º nível (blog.portugal.example.org) e superiores.
Faça a sua escolha e depois clique de seguida em Adicionar para validar a sua escolha.
Para adicionar um domínio ou subdomínio, ser-lhe-á enviado um e-mail a indicar que deve apontá-lo para o endereço IP do SSL Gateway num prazo de 3 dias. Esta operação é necessária para validar a criação do certificado SSL/TLS.
O separador "Servidores" permite gerir o(s) endereço(s) IP do(s) alojamento(s) do seu website.
- Clique em
+ Servidorpara poder adicionar um endereço IP e uma porta correspondente ao servidor que aloja o seu website.
- Oferta Free: Apenas poderá dispor de um só endereço IP/PORTA.
- Oferta Advanced: Pode adicionar até 3 endereços IP/PORTA para os seus domínios e subdomínios. Se indicar vários endereços IP/PORTAS, o seu SSL Gateway repartirá a carga com o sistema Round Robin.
Faça a sua escolha e depois clique de seguida em Adicionar para a validar.
Não é ainda possível a adição dos endereços IPv6 dos seus servidores. Esta situção não é impeditiva, uma vez que o seu domínio ou subdomínio pode apontar para o seu SSL Gateway em IPv6. O seu SSL Gateway encarregar-se-á de seguida em bascular o tráfego IPv6 para o endereço IPv4 do seu servidor de forma transparente.
O separador "Trabalhos" permite consultar as operações em curso no seu SSL Gateway.
Se não detetarmos o apontamento do seu domínio ou subdomínio para o endereço IP do SSL Gateway, o certificado SSL/TLS não será criado. O acesso será no entanto possível via "HTTP". Se for o caso, um "thumbnail" "HTTP" será apresentado no separador "Entradas".
O separador "Gráficos" permite consultar o número de ligações e pedidos por minuto efetuados via o seu SSL Gateway.
- Oferta Free: Será possível consultar os gráficos de 24h.
- Oferta Advanced: Será possível consultar os gráficos de 1 mês.
Renovacao do certificado SSL
Ponto importante
Para poder renovar o certificiado Let's Encrypt, é necessário que o domínio ou subdomínio apontem para o IP da oferta SSL Gateway. - Se não é o caso, os nossos robots irão constatá-lo 7 dias antes da data de renovação do certificado SSL/TLS, receberá um e-mail dando-lhe 3 dias para efetuar essa operação. - Findos os 3 dias, e se a operação não for efetuada, o certificado não será renovado e será necessário que o regenere manualmente com a ajuda deste botão:
Truques
Correcao do IP source nos Logs
Apresentacao
Quando um cliente visita o seu website ele liga-se ao SSL Gateway via HTTPS, e depois o SSL Gateway faz seguir o pedido para o seu servidor após ter desencriptado a informação e filtrado os atataques. Todos os pedidos para o seu servidor são provenientes do SSL Gateway.
Para que possa saber o endereço do seu visitante, o SSL Gateway adiciona-o nos cabeçalhos HTTP standards:
- X-Forwarded-For e X-Remote-Ip: Endereço do cliente, tal como é visto pelo SSL Gateway.
- X-Forwarded-Port e X-Remote-Port: Porta source do cliente, tal como é vista pelo SSL Gateway.
Estes campos podem ser forjados por um cliente malicioso, e somente devem ser tomados em conta se vierem de uma fonte de confiança como o SSL Gateway. A lista dos endereços IP sources utilizada pelo SSL Gateway encontra-se em:
- O seu Espaço Cliente Sunrise
- Separador SSL Gateway
- Campo "IPv4 de saída"
À hora da redeção deste guia esses endereços são 213.32.4.0/24 e 144.217.9.0/24. Podem ser adicionados outros endereços IP no futuro.
Se gere o seu servidor, pode configurá-lo para ter em consideração de forma automática esta configuração ao invés do IP do SSL Gateway.
Apache
- Crie o seguinte ficheiro: /etc/apache2/conf-available/remoteip.conf
- Introduza as seguintes linhas:
Pode de seguida substituir as variáveis %h por %a nas diretivas LogFormat da configuração do Apache.
- Após ter a configuração pronta, basta que a ative com os seguintes comandos:
Pode encontrar mais informações sobre esta funcionalidade na documentação oficial do Apache (em Inglês).
Nginx
- Abra o ficheiro de configuração correspondente ao website a tornar seguro. Ele encontra-se por normal em: /etc/nginx/sites-enabled
- Introduza as seguintes linhas na secção server:
Pode encontrar mais informações sobre esta funcionalidade na documentação oficial do Nginx (em Inglês).
Quer saber mais?
Para serviços especializados (referenciamento, desenvolvimento, etc), contacte os parceiros OVHcloud.
Se pretender usufruir de uma assistência na utilização e na configuração das suas soluções OVHcloud, consulte as nossas diferentes ofertas de suporte.
Fale com nossa comunidade de utilizadores.
Encomendar um SSL Gateway
297