Переключение ONLYOFFICE Groups на протокол HTTPS

Быстрее всего можно переключить ONLYOFFICE Groups на протокол HTTPS с помощью готового скрипта. Пожалуйста, прочитайте эту статью, чтобы узнать, как это можно сделать.

Все действия, которые выполняет скрипт, вы можете выполнить вручную. Для этого следуйте инструкциям ниже.

Для версии 8.5 используются службы IIS 7, у которых есть свои особенности. Сертификат безопасности необходимо привязать к ONLYOFFICE Community Server с помощью встроенных инструментов служб IIS.

Если у вас есть сертификат безопасности (самоподписанный или выданный сторонним центром сертификации), вы можете привязать его к ONLYOFFICE Community Server:

1. Войдите в Диспетчер служб IIS.
2. Выберите сайт, к которому нужно привязать сертификат (портал ONLYOFFICE).
3. Используйте опцию Привязки... на правой панели, чтобы открыть диалоговое окно Привязки сайта.
4. В открывшемся окне нажмите кнопку Добавить....
5. Измените тип на https и выберите из выпадающего меню SSL-сертификат предварительно созданный сертификат.
6. Нажмите кнопку OK, а затем закройте окно Привязки сайта.

После этого ваш сертификат будет привязан к ONLYOFFICE Community Server. Если у вас есть еще какие-то вопросы о сертификатах в IIS 7, обратитесь к соответствующим статьям базы знаний Microsoft.

Теперь надо включить для сервера правила переопределения, чтобы он обрабатывал HTTPS-запросы вместо HTTP. Для этого:

1. Войдите в Диспетчер служб IIS.
2. Выберите сайт, для которого надо включить HTTPS.
3. Используйте опцию URL Rewrite (Переопределение URL-адресов) в меню справа, чтобы открыть окно URL Rewrite.
4. Найдите следующие правила: HTTP to HTTPS и Add Strict-Transport-Security when HTTPS и для каждого из них выберите на правой панели опцию Enable Rule (Включить правило).

Следующие действия не являются обязательными, но если вы хотите обеспечить безопасность инсталляции ONLYOFFICE Community Server, настоятельно рекомендуется их выполнить. Перейдите на страницу IIS Crypto. Это бесплатный инструмент, который дает администраторам возможность включать или отключать протоколы, шифры, хэш-функции и алгоритмы смены ключей в Windows Server 2008, 2012 и 2016. Программа также позволяет переупорядочивать наборы шифров SSL/TLS, предлагаемых IIS, применять наилучшие методы в один клик, создавать пользовательские шаблоны и тестировать сайт. Скачайте и запустите эту программу, выберите опцию Best Practices, а затем Apply. После этого перезапустите сервер.

Проверить, все ли правильно получилось, можно следующим образом:

• Откройте портал, используя префикс https://. Если портал открывается и работает, значит, вы все сделали правильно.
• Если ONLYOFFICE Community Server доступен в интернете, вы можете проверить его безопасность с помощью сайта SSL Server Test. Введите доменное имя в поле Hostname и нажмите кнопку Submit. Дождитесь результатов. Класс защищенности должен быть не ниже, чем A.

1. Создайте папку ssl_cert в каталоге c:\Program Files\Ascensio System SIA\ONLYOFFICE\Router\.
2. Скопируйте в эту новую папку сертификат в формате .pem.
3. Перезапустите сервис ONLYOFFICE Router.
   Для правильной работы портала должен быть открыт порт 443.
4. В папке WebStudio найдите и откройте файл Web.config (для сохранения изменений требуются права администратора), и найдите в нем следующий раздел:

   <rewrite>
       <rules>
           ...
       </rules>
   </rewrite>
   

   Замените всё содержимое этого раздела (обозначенное выше многоточием "...") на следующие правила:

   <rule name="HTTP to HTTPS" stopProcessing="true">
       <match url=".*" />
       <conditions>
           <add input="{HTTPS}" pattern="off" />
           <add input="{REQUEST_URI}" pattern="^/api/2.0/" negate="true" />
           <add input="{REQUEST_URI}" pattern="products/files/services/wcfservice/service.svc.*" negate="true" />
       </conditions>
       <action type="Redirect" url="https://{HTTP_HOST}/{R:0}" appendQueryString="true" redirectType="Temporary" />
   </rule>      
   <rule name="WCF files HTTPS to HTTP" stopProcessing="true">
       <match url="products/files/services/wcfservice/service.svc.*" />
       <conditions>
           <add input="{HTTPS}" pattern="on" /> 
       </conditions>
       <action type="Rewrite" url="http://{HTTP_HOST}/{R:0}" appendQueryString="true" />
   </rule>

5. Если у вас подключен ONLYOFFICE Docs и его тоже требуется переключить на HTTPS, все ссылки на него в файле web.appsettings.config необходимо изменить с HTTP на HTTPS. Обратитесь к статье Подключение ONLYOFFICE Docs к ONLYOFFICE Groups для получения информации о том, какие строки используются для подключения ONLYOFFICE Docs.

При переключении старых версий ONLYOFFICE Community Server на HTTPS необходимо выполнить следующие действия для правильной работы:

1. Положите сертификат в формате .pem с закрытым ключом в любую папку на компьютере с установленным ONLYOFFICE Community Server.
2. Перейдите в папку c:\Program Files\Ascensio System SIA\ONLYOFFICE\Router\ и откройте файл config.js в любом текстовом редакторе. Для сохранения изменений требуются права администратора.
3. Найдите следующую строку:

   config.sslCertPath = '../Cert/https-cert.pem';
   

   замените ../Cert/https-cert.pem на путь, по которому находится сертификат.
   Пожалуйста, обратите внимание: необходимо указать абсолютный путь к файлу сертификата (например, C:/Cert/mycertificate.pem) и использовать в пути слеши (не обратные слеши!), точно так же, как показано в примере.
4. Перезапустите сервис ONLYOFFICE Router.
   Должны быть открыты соответствующие порты, а node.js добавлен в список исключений или разрешающие правила межсетевого экрана.

Может также потребоваться заменить sslCertPath на sslCert в строке параметров config.sslCertPath.