Сертификат

[siugaron]

Ещё раз добрый день) А не подскажете, какой конфиг отвечает за обработку сертификатов. Дело в том, что у меня Let's Encrypt и телеграм в упор не хочет его верифицировать. Ни как самоподписанный ни как нормальный. SSL верификатор по порту, подсказал мне что делать. На 443 порту я настроил и получил от верификатора оценку A. Однако на 8443 где бы я ни настраивал, получаю оценку C+

[borisershov]

Здравствуйте :)

А не подскажете, какой конфиг отвечает за обработку сертификатов.

Если Вы имеете в виду конфигурационный файл nxs-chat-srv, то в нём за настройку SSL отвечает блок bind.ssl.

Для примера привожу конфиг с одного из боевых серверов (изменено только доменное имя), где тоже используется сертификат от Let's Encrypt:

"bind": {
    "iface": "0.0.0.0",
    "port": 8443,
    "ssl": {
        "use_ssl": true,
        "crt": "/etc/letsencrypt/live/nxs-chat-srv.exmaple.com/fullchain.pem",
        "key": "/etc/letsencrypt/live/nxs-chat-srv.exmaple.com/privkey.pem"
    }
}

Надеюсь, Вам это поможет, потому что судя по сообщению:

Дело в том, что у меня Let's Encrypt и телеграм в упор не хочет его верифицировать. Ни как самоподписанный ни как нормальный.

Вы, вероятно, не правильно указываете ключ и сертификат в настройках и, следовательно, бот передаёт в Телеграм не верные данные.

Вообще я нигде в документации Телеграм не встречал записей о том, что оценка имеет значение. Там по этой части есть следующее:

• Первый момент: либо сертификат доверенный, либо самоподписанный. Если самоподписанный, то в Телеграм при регистрации webhook'а требуется отправить и сам сертификат. В nxs-chat-srv это делается командой:

  nxs-chat-srv -i set_webhook_self_signed_certificate

• Второй момент: допустимо использовать только конкретные порты: 443, 80, 88, 8443 (https://core.telegram.org/bots/api#setwebhook)

Для проверки валидности сертификата и правильности его настройки - Вы можете прямо из браузера обратиться по адресу, который указан в опции telegram.webhook_host. Если Вы используете доверенный сертификат, то браузер не должен выдавать каких-либо ошибок (т.е. подключение будет как и к любому другому серверу по https).

И ещё: в логах есть какие-нибудь ошибки?

[siugaron]

Сейчас попробую сменить cert.pem на fullchain.pem Может поможет.

upd. Помогло. Спасибо огромное. Все заработало. Сообщения посыпались.

[borisershov]

Отлично! Надеюсь, наше приложение будет полезным для вашей компании :)

Задачу тогда закрываю.