Utilizar o SSL Gateway

Torne as ligacoes para o seu website seguras

Generalidades

Pre-requisitos

  • Ter encomendado um serviço SSL Gateway.
  • Ter acesso ao seu Espaço Cliente Sunrise.

Utilizacao

Vamos ver agora como utilizar o seu serviço SSL Gateway

Configuracao do servico

bouton sunrise

  • Clique de seguida em SSL Gateway para poder consultar o serviço.

bouton ssl gateway

  • Selecione a oferta que deseja configurar.

page commerciale

  • Chegará então à página de gestão da sua oferta.

config globale

  • Description des informations.

partie infos

|IPv4|Endereço IPv4 da gateway OVH para o qual deve apontar| |IPv6|Endereço IPv6 da gateway OVH para o qual deve apontar| |Zone|Zona geográfica do endereço IP do seu SSL Gateway| |IPv4 de saída|Endereços IPv4 OVH que se ligarão ao seu servidor| |Oferta|Tipo de oferta subscrita| |Documentação|Link para este guia de utilização| |Estado|Estado do seu serviço SSL Gateway| |Data de expiração|Data de expiração do seu serviço SSL Gateway| |Cancelar|Botão para solicitar a rescisão do seu serviço SSL Gateway| |Migrar para a oferta Advanced|Permite a migração da oferta Free para a oferta Advanced|

  • Descrição da configuração

partie conf

|Configuração|Botão que permite modificar a configuração do seu serviço SSL Gateway| |HSTS [1]|Obriga o browser a efetuar as suas próximas ligações ao seu website via HTTPS| |Reverse|Permite atribuir um domínnio/subdomínio ao seu endereço IP IP SSL Gateway| |Reencaminhamento HTTPS [2]|Reencaminha o visitante para a versão HTTPS do seu website quando ele acede via HTTP| |Servidor HTTPS [3]|Ativa o HTTPS entre o servidor SSL Gateway e o seu servidor| |Restrição dos endereços IP source|Se o campo está preenchido, apenas os endereços IP ou redes específicas podem ligar-se ao SSL Gateway| |Configuração dos ciphers [4]|Permite escolher um nível de segurança para o seu certificado SSL/TLS|

[1] - (1) Mais informações sobre o HSTS.

[2] - (1) Após ter verificado que o seu website funciona corretamente com o protocolo HTTPS, é possível que encaminhe todo o tráfego HTTP para HTTPS. É no entanto recomendado que aguarde 24h antes de apontar o seu domínio para a oferta SSL Gateway antes de efetuar esse reencaminhamento, de forma a que os visitantes do seu website tenham a nova configuração DNS funcional.

[3] - (1) Permite tornar seguro do "inicio ao fim" a ligação. O servidor SSL Gateway irá ligar-se ao seu servidor a partir da porta standard de HTTPS, a porta 433. Atenção, é obrigatório que disponha de um certificado SSL/TLS no seu servidor para poder ativar esta opção. Sem isso, o seu website não irá funcionar. Não é no entanto necessário que esse certificado tenha sido renovado no seu servidor.

[4] - (1) O nível mais elevado trará melhores proteções mas poderá não funcionar com os browsers mais antigos.

Configuracao do dominio

O bloco seguinte compreende 4 separadores:

  • Domínios
  • Servidores
  • Trabalhos
  • Gráficos

onglet Domaines

O separador "Domínios" permite adicionar e eliminar os seus domínnios e subdomínios ao seu SSL Gateway.

  • Clique em + Domínio para poder adicionar um domínio ou subdomínio.
Dispõe de uma oferta "Free"

Apenas será possível adicionar um só domínio, bem como do seu subdomínio "www" e de um segundo subdomínio à escolha:

|Domínio|example.com| |Subdomínio www|www.example.com| |Subdomínio à escolha|blog.example.com|

  • Oferta Free:

Apenas os domínios até 3 níveis (www.example.org) são autorizados.

  • Faça a sua escolha e depois clique de seguida em Adicionar para validar a sua escolha.

ajout domaine free

Dispõe de uma oferta "Advanced"

Será possível adicionar o domínio e subdomínio que desejar.

  • Oferta Advanced:

Os domínios de 4º nível (blog.portugal.example.org) e superiores são autorizados.

  • Faça a sua escolha e depois clique de seguida em Adicionar para validar a sua escolha.

ajout domaine advanced

Para adicionar um domínio ou subdomínio, ser-lhe-á enviado um e-mail a indicar que deve apontá-lo para o endereço IP do SSL Gateway num prazo de 3 dias. Esta operação é necessária para validar a criação do certificado SSL/TLS.

O separador "Servidores" permite gerir o(s) endereço(s) IP do(s) alojamento(s) do seu website.

  • Clique em + Servidor para poder adicionar um endereço IP e uma porta correspondente ao servidor que aloja o seu website.

onglet serveurs

Dispõe de uma oferta "Free"

Apenas poderá dispor de um só endereço IP/PORTA.

Dispõe de uma oferta "Advanced"

Pode adicionar até 3 endereços IP/PORTA para os seus domínios e subdomínios.

Se indicar vários endereços IP/PORTAS, o seu SSL Gateway repartirá a carga com o sistema Round Robin. Para mais informações sobre o DNS Round Robin consulte o seguinte endereço: (em Inglês)

  • Faça a sua escolha e depois clique de seguida em Adicionar para a validar.

ajout IP/PORT advanced (interne)

Não é ainda possívela a adição dos endereços IPv6 dos seus servidores. Esta situção não é impeditiva, uma vez que o seu domínio ou subdomínio pode apontar para o seu SSL Gateway em IPv6. O seu SSL Gateway encarregar-se-á de seguida em bascular o tráfego IPv6 para o endereço IPv4 do seu servidor de forma transparente.

O separador "Trabalhos" permite consultar as operações em curso no seu SSL Gateway.

onglet tâches

Se não detetarmos o apontamento do seu domínio ou subdomínio para o endereço IP do SSL Gateway, o certificado SSL/TLS não será criado. O acesso será no entanto possível via "HTTP". Se for o caso, um "thumbnail" "HTTP" será apresentado no separador "Entradas".

http only

O separador "Gráficos" permite consultar o número de ligações e pedidos por minuto efetuados via o seu SSL Gateway.

onglet metriques

Dispõe de uma oferta "Free"

Será possível consultar os gráficos de 24h.

Dispõe de uma oferta "Advanced"

Será possível consultar os gráficos de 1 mês.

Renovacao do certificado SSL

Ponto importante

Para poder renovar o certificiado Let's Encrypt, é necessário que o domínio ou subdomínio apontem para o IP da oferta SSL Gateway. - Se não é o caso, os nossos robots irão constatá-lo 7 dias antes da data de renovação do certificado SSL/TLS, receberá um e-mail dando-lhe 3 dias para efetuar essa operação. - Findos os 3 dias, e se a operação não for efetuada, o certificado não será renovado e será necessário que o regenere manualmente com a ajuda deste botão:

Regenerate SSL

Truques

Correcao do IP source nos Logs

Apresentacao

Quando um cliente visita o seu website ele liga-se ao SSL Gateway via HTTPS, e depois o SSL Gateway faz seguir o pedido para o seu servidor após ter desencriptado a informação e filtrado os atataques. Todos os pedidos para o seu servidor são provenientes do SSL Gateway.

Para que possa saber o endereço do seu visitante, o SSL Gateway adiciona-o nos cabeçalhos HTTP standards:

  • X-Forwarded-For e X-Remote-Ip: Endereço do cliente, tal como é visto pelo SSL Gateway.
  • X-Forwarded-Port e X-Remote-Port: Porta source do cliente, tal como é vista pelo SSL Gateway.

Estes campos podem ser forjados por um cliente malicioso, e somente devem ser tomados em conta se vierem de uma fonte de confiança como o SSL Gateway. A lista dos endereços IP sources utilizada pelo SSL Gateway encontar-se em:

  • O seu Espaço Cliente Sunrise
  • Separador SSL Gateway
  • Campo "IPv4 de saída"

À hora da redeção deste guia esses endereços são 213.32.4.0/24 e 144.217.9.0/24. Podem ser adicionados outros endereços IP no futuro.

Se gere o seu servidor, pode configurá-lo para ter em consideração de forma automática esta configuração ao invés do IP do SSL Gateway.

Apache

  • Crie o seguinte ficheiro: /etc/apache2/conf-available/remoteip.conf
  • Introduza as seguintes linhas:
# Trust X-Forwarded-For headers from the SSL Gateway
# See https://www.ovh.com/manager/sunrise/sslGateway/index.html#/sslGateway for an up to date list
RemoteIPHeader X-Forwarded-For
RemoteIPInternalProxy 213.32.4.0/24

Pode de seguida substituir as variáveis %h por %a nas diretivas LogFormat da configuração do Apache.

  • Após ter a configuraçaõ pronta, basta que a ative com os seguintes comandos:
# Ativa o módulo e depois a configuração
a2enmod remoteip
a2enconf remoteip

# Reinicie o Apache para ter em consideração o módulo (um "reinicio" é suficiente para a configuração)
service apache2 restart

Pode encontrar mais informações sobre esta funcionalidade na documentação oficial do Apache (em Inglês).

Nginx

  • Abra o ficheiro de configuração correspondente ao website a tornar seguro. Ele encontra-se por normal em: /etc/nginx/sites-enabled
  • Introduza as seguintes linhas na secção server:
# Trust X-Forwarded-For headers from the SSL Gateway
# See https://www.ovh.com/manager/sunrise/sslGateway/index.html#/sslGateway for an up to date list
set_real_ip_from 213.32.4.0/24;
real_ip_header X-Forwarded-For;

Pode encontrar mais informações sobre esta funcionalidade na documentação oficial do Nginx (em Inglês).


Esta documentação foi-lhe útil?

Não hesite em propor-nos sugestões de melhoria para fazer evoluir este manual.

Imagens, conteúdo, estrutura... Não hesite em dizer-nos porquê para evoluirmos em conjunto!

Os seus pedidos de assistência não serão tratados através deste formulário. Para isso, utilize o formulário "Criar um ticket" .

Obrigado. A sua mensagem foi recebida com sucesso.


Estes manuais também podem ser úteis...

OVHcloud Community

Aceda ao seu espaço comunitário. Coloque as suas questões, procure informações e interaja com outros membros do OVHcloud Community.

Discuss with the OVHcloud community

Em conformidade com a alteração à Diretiva 2006/112/CE, os preços com IVA podem variar de acordo com o país de residência do cliente
(por defeito, os preços com IVA apresentados incluem o IVA português em vigor).