Utilizar o SSL Gateway

Torne as ligacoes para o seu website seguras

Generalidades

Pre-requisitos

  • Ter encomendado um serviço SSL Gateway.
  • Ter acesso ao seu Espaço Cliente Sunrise.

Utilizacao

Vamos ver agora como utilizar o seu serviço SSL Gateway

Configuracao do servico

bouton sunrise

  • Clique de seguida em SSL Gateway para poder consultar o serviço.

bouton ssl gateway

  • Selecione a oferta que deseja configurar.

page commerciale

  • Chegará então à página de gestão da sua oferta.

config globale

  • Description des informations.

partie infos

|IPv4|Endereço IPv4 da gateway OVH para o qual deve apontar| |IPv6|Endereço IPv6 da gateway OVH para o qual deve apontar| |Zone|Zona geográfica do endereço IP do seu SSL Gateway| |IPv4 de saída|Endereços IPv4 OVH que se ligarão ao seu servidor| |Oferta|Tipo de oferta subscrita| |Documentação|Link para este guia de utilização| |Estado|Estado do seu serviço SSL Gateway| |Data de expiração|Data de expiração do seu serviço SSL Gateway| |Cancelar|Botão para solicitar a rescisão do seu serviço SSL Gateway| |Migrar para a oferta Advanced|Permite a migração da oferta Free para a oferta Advanced|

  • Descrição da configuração

partie conf

|Configuração|Botão que permite modificar a configuração do seu serviço SSL Gateway| |HSTS [1]|Obriga o browser a efetuar as suas próximas ligações ao seu website via HTTPS| |Reverse|Permite atribuir um domínnio/subdomínio ao seu endereço IP IP SSL Gateway| |Reencaminhamento HTTPS [2]|Reencaminha o visitante para a versão HTTPS do seu website quando ele acede via HTTP| |Servidor HTTPS [3]|Ativa o HTTPS entre o servidor SSL Gateway e o seu servidor| |Restrição dos endereços IP source|Se o campo está preenchido, apenas os endereços IP ou redes específicas podem ligar-se ao SSL Gateway| |Configuração dos ciphers [4]|Permite escolher um nível de segurança para o seu certificado SSL/TLS|

[1] - (1) Mais informações sobre o HSTS.

[2] - (1) Após ter verificado que o seu website funciona corretamente com o protocolo HTTPS, é possível que encaminhe todo o tráfego HTTP para HTTPS. É no entanto recomendado que aguarde 24h antes de apontar o seu domínio para a oferta SSL Gateway antes de efetuar esse reencaminhamento, de forma a que os visitantes do seu website tenham a nova configuração DNS funcional.

[3] - (1) Permite tornar seguro do "inicio ao fim" a ligação. O servidor SSL Gateway irá ligar-se ao seu servidor a partir da porta standard de HTTPS, a porta 433. Atenção, é obrigatório que disponha de um certificado SSL/TLS no seu servidor para poder ativar esta opção. Sem isso, o seu website não irá funcionar. Não é no entanto necessário que esse certificado tenha sido renovado no seu servidor.

[4] - (1) O nível mais elevado trará melhores proteções mas poderá não funcionar com os browsers mais antigos.

Configuracao do dominio

O bloco seguinte compreende 4 separadores:

  • Domínios
  • Servidores
  • Trabalhos
  • Gráficos

onglet Domaines

O separador "Domínios" permite adicionar e eliminar os seus domínnios e subdomínios ao seu SSL Gateway.

  • Clique em + Domínio para poder adicionar um domínio ou subdomínio.
Dispõe de uma oferta "Free"

Apenas será possível adicionar um só domínio, bem como do seu subdomínio "www" e de um segundo subdomínio à escolha:

|Domínio|example.com| |Subdomínio www|www.example.com| |Subdomínio à escolha|blog.example.com|

  • Oferta Free:

Apenas os domínios até 3 níveis (www.example.org) são autorizados.

  • Faça a sua escolha e depois clique de seguida em Adicionar para validar a sua escolha.

ajout domaine free

Dispõe de uma oferta "Advanced"

Será possível adicionar o domínio e subdomínio que desejar.

  • Oferta Advanced:

Os domínios de 4º nível (blog.portugal.example.org) e superiores são autorizados.

  • Faça a sua escolha e depois clique de seguida em Adicionar para validar a sua escolha.

ajout domaine advanced

Para adicionar um domínio ou subdomínio, ser-lhe-á enviado um e-mail a indicar que deve apontá-lo para o endereço IP do SSL Gateway num prazo de 3 dias. Esta operação é necessária para validar a criação do certificado SSL/TLS.

O separador "Servidores" permite gerir o(s) endereço(s) IP do(s) alojamento(s) do seu website.

  • Clique em + Servidor para poder adicionar um endereço IP e uma porta correspondente ao servidor que aloja o seu website.

onglet serveurs

Dispõe de uma oferta "Free"

Apenas poderá dispor de um só endereço IP/PORTA.

Dispõe de uma oferta "Advanced"

Pode adicionar até 3 endereços IP/PORTA para os seus domínios e subdomínios.

Se indicar vários endereços IP/PORTAS, o seu SSL Gateway repartirá a carga com o sistema Round Robin. Para mais informações sobre o DNS Round Robin consulte o seguinte endereço: (em Inglês)

  • Faça a sua escolha e depois clique de seguida em Adicionar para a validar.

ajout IP/PORT advanced (interne)

Não é ainda possívela a adição dos endereços IPv6 dos seus servidores. Esta situção não é impeditiva, uma vez que o seu domínio ou subdomínio pode apontar para o seu SSL Gateway em IPv6. O seu SSL Gateway encarregar-se-á de seguida em bascular o tráfego IPv6 para o endereço IPv4 do seu servidor de forma transparente.

O separador "Trabalhos" permite consultar as operações em curso no seu SSL Gateway.

onglet tâches

Se não detetarmos o apontamento do seu domínio ou subdomínio para o endereço IP do SSL Gateway, o certificado SSL/TLS não será criado. O acesso será no entanto possível via "HTTP". Se for o caso, um "thumbnail" "HTTP" será apresentado no separador "Entradas".

http only

O separador "Gráficos" permite consultar o número de ligações e pedidos por minuto efetuados via o seu SSL Gateway.

onglet metriques

Dispõe de uma oferta "Free"

Será possível consultar os gráficos de 24h.

Dispõe de uma oferta "Advanced"

Será possível consultar os gráficos de 1 mês.

Renovacao do certificado SSL

Ponto importante

Para poder renovar o certificiado Let's Encrypt, é necessário que o domínio ou subdomínio apontem para o IP da oferta SSL Gateway. - Se não é o caso, os nossos robots irão constatá-lo 7 dias antes da data de renovação do certificado SSL/TLS, receberá um e-mail dando-lhe 3 dias para efetuar essa operação. - Findos os 3 dias, e se a operação não for efetuada, o certificado não será renovado e será necessário que o regenere manualmente com a ajuda deste botão:

Regenerate SSL

Truques

Correcao do IP source nos Logs

Apresentacao

Quando um cliente visita o seu website ele liga-se ao SSL Gateway via HTTPS, e depois o SSL Gateway faz seguir o pedido para o seu servidor após ter desencriptado a informação e filtrado os atataques. Todos os pedidos para o seu servidor são provenientes do SSL Gateway.

Para que possa saber o endereço do seu visitante, o SSL Gateway adiciona-o nos cabeçalhos HTTP standards:

  • X-Forwarded-For e X-Remote-Ip: Endereço do cliente, tal como é visto pelo SSL Gateway.
  • X-Forwarded-Port e X-Remote-Port: Porta source do cliente, tal como é vista pelo SSL Gateway.

Estes campos podem ser forjados por um cliente malicioso, e somente devem ser tomados em conta se vierem de uma fonte de confiança como o SSL Gateway. A lista dos endereços IP sources utilizada pelo SSL Gateway encontar-se em:

  • O seu Espaço Cliente Sunrise
  • Separador SSL Gateway
  • Campo "IPv4 de saída"

À hora da redeção deste guia esses endereços são 213.32.4.0/24 e 144.217.9.0/24. Podem ser adicionados outros endereços IP no futuro.

Se gere o seu servidor, pode configurá-lo para ter em consideração de forma automática esta configuração ao invés do IP do SSL Gateway.

Apache

  • Crie o seguinte ficheiro: /etc/apache2/conf-available/remoteip.conf
  • Introduza as seguintes linhas:
# Trust X-Forwarded-For headers from the SSL Gateway
# See https://www.ovh.com/manager/sunrise/sslGateway/index.html#/sslGateway for an up to date list
RemoteIPHeader X-Forwarded-For
RemoteIPInternalProxy 213.32.4.0/24

Pode de seguida substituir as variáveis %h por %a nas diretivas LogFormat da configuração do Apache.

  • Após ter a configuraçaõ pronta, basta que a ative com os seguintes comandos:
# Ativa o módulo e depois a configuração
a2enmod remoteip
a2enconf remoteip

# Reinicie o Apache para ter em consideração o módulo (um "reinicio" é suficiente para a configuração)
service apache2 restart

Pode encontrar mais informações sobre esta funcionalidade na documentação oficial do Apache (em Inglês).

Nginx

  • Abra o ficheiro de configuração correspondente ao website a tornar seguro. Ele encontra-se por normal em: /etc/nginx/sites-enabled
  • Introduza as seguintes linhas na secção server:
# Trust X-Forwarded-For headers from the SSL Gateway
# See https://www.ovh.com/manager/sunrise/sslGateway/index.html#/sslGateway for an up to date list
set_real_ip_from 213.32.4.0/24;
real_ip_header X-Forwarded-For;

Pode encontrar mais informações sobre esta funcionalidade na documentação oficial do Nginx (em Inglês).

Esta documentação foi-lhe útil?

Não hesite em propor-nos sugestões de melhoria para fazer evoluir este manual.

Imagens, conteúdo, estrutura... Não hesite em dizer-nos porquê para evoluirmos em conjunto!

Os seus pedidos de assistência não serão tratados através deste formulário. Para isso, utilize o formulário "Criar um ticket" .

Obrigado. A sua mensagem foi recebida com sucesso.

Estes manuais também podem ser úteis...

SSL Gateway
Encomendar um SSL Gateway
Os tutoriais mais consultados
Gestão dos IP
Proteção dos dados do cliente
Gestão das instâncias
Gestão dos servidores dedicados
Gestão dos VPS
Gestão dos Cloud Privado

OVHcloud Community

Aceda ao seu espaço comunitário. Coloque as suas questões, procure informações e interaja com outros membros do OVHcloud Community.

Discuss with the OVHcloud community

Em conformidade com a alteração à Diretiva 2006/112/CE, os preços com IVA podem variar de acordo com o país de residência do cliente
(por defeito, os preços com IVA apresentados incluem o IVA português em vigor).