Jak skonfigurować HTTPS/SSL dla Odoo? Przewodnik krok po kroku

Bezpieczeństwo danych w systemach ERP jest absolutnym priorytetem dla każdej organizacji. Konfiguracja HTTPS/SSL dla Odoo to niezbędny krok, który zapewnia szyfrowanie komunikacji między użytkownikami a serwerem. W tym przewodniku przedstawimy wszystkie kroki niezbędne do prawidłowego zabezpieczenia Twojej instancji Odoo 17 oraz starszych wersji systemu.

Dlaczego HTTPS/SSL jest niezbędny w Odoo?

Protokół HTTPS z certyfikatem SSL/TLS to standard w dzisiejszym internecie. Dla systemów ERP, takich jak Odoo, które przetwarzają wrażliwe dane biznesowe, konfiguracja HTTPS nie jest opcją - to wymóg bezpieczeństwa.

Główne korzyści z wdrożenia HTTPS/SSL:

• Szyfrowanie danych - wszystkie informacje przesyłane między klientem a serwerem są zaszyfrowane
• Autentykacja serwera - certyfikat potwierdza tożsamość serwera
• Ochrona przed atakami - zabezpieczenie przed podsłuchiwaniem i modyfikacją danych (man-in-the-middle)
• Zaufanie użytkowników - współczesne przeglądarki oznaczają strony HTTP jako niebezpieczne
• Lepsze SEO - wyszukiwarki preferują bezpieczne strony HTTPS
• Zgodność z regulacjami - RODO, PCI DSS i inne standardy wymagają szyfrowanej komunikacji
• Wsparcie dla nowoczesnych funkcji - niektóre API przeglądarek (np. geolokalizacja, PWA) wymagają HTTPS

Wymagania wstępne

Przed rozpoczęciem konfiguracji HTTPS/SSL dla Odoo upewnij się, że posiadasz:

• Działającą instancję Odoo (sprawdź nasz przewodnik jak zainstalować Odoo na Ubuntu)
• Domenę lub subdomenę wskazującą na serwer Odoo (rekord A lub AAAA w DNS)
• Dostęp root lub sudo do serwera Linux
• Otwarte porty 80 (HTTP) i 443 (HTTPS) w firewallu
• Zainstalowany serwer Nginx lub Apache jako reverse proxy
• Minimum 1 GB RAM (zalecane 2 GB dla stabilnej pracy)

Metody uzyskania certyfikatu SSL

1. Let's Encrypt (Certbot) - darmowy certyfikat

Let's Encrypt to najbardziej popularne rozwiązanie oferujące darmowe certyfikaty SSL z automatycznym odnowieniem. To idealna opcja dla większości instalacji Odoo. Certyfikaty są ważne 90 dni i automatycznie odnawiane przez Certbot.

2. Certyfikaty komercyjne

Certyfikaty płatne od zaufanych CA (Certificate Authority) oferują rozszerzoną walidację (EV), gwarancje finansowe i wsparcie techniczne. Mogą być wymagane w niektórych branżach regulowanych.

3. Certyfikaty self-signed

Przydatne tylko w środowiskach testowych i deweloperskich - nie są zaufane przez przeglądarki i będą wywoływać ostrzeżenia bezpieczeństwa.

Konfiguracja HTTPS/SSL dla Odoo z Nginx i Let's Encrypt

Krok 1: Instalacja Nginx

Na systemie Ubuntu/Debian wykonaj:

sudo apt update
sudo apt install nginx -y
sudo systemctl start nginx
sudo systemctl enable nginx

Sprawdź wersję Nginx (zalecana 1.18 lub nowsza):

nginx -v

Krok 2: Instalacja Certbot

Certbot to narzędzie do automatycznego zarządzania certyfikatami Let's Encrypt:

sudo apt install certbot python3-certbot-nginx -y

Krok 3: Konfiguracja Nginx jako reverse proxy

Utwórz nowy plik konfiguracyjny dla Odoo:

sudo nano /etc/nginx/sites-available/odoo

Dodaj następującą konfigurację (zastąp twoja-domena.pl swoją domeną):

upstream odoo {
    server 127.0.0.1:8069;
}

upstream odoochat {
    server 127.0.0.1:8072;
}

map $http_upgrade $connection_upgrade {
    default upgrade;
    '' close;
}

server {
    listen 80;
    listen [::]:80;
    server_name twoja-domena.pl www.twoja-domena.pl;

    access_log /var/log/nginx/odoo.access.log;
    error_log /var/log/nginx/odoo.error.log;

    # Pozwól Certbot na weryfikację domeny
    location /.well-known/acme-challenge/ {
        root /var/www/html;
    }

    # Przekierowanie na HTTPS (zostanie dodane przez Certbot)
    location / {
        return 301 https://$host$request_uri;
    }
}

server {
    listen 443 ssl http2;
    listen [::]:443 ssl http2;
    server_name twoja-domena.pl www.twoja-domena.pl;

    access_log /var/log/nginx/odoo.access.log;
    error_log /var/log/nginx/odoo.error.log;

    # Certyfikaty SSL (zostaną dodane przez Certbot)
    # ssl_certificate /etc/letsencrypt/live/twoja-domena.pl/fullchain.pem;
    # ssl_certificate_key /etc/letsencrypt/live/twoja-domena.pl/privkey.pem;

    # Parametry SSL
    ssl_protocols TLSv1.2 TLSv1.3;
    ssl_prefer_server_ciphers on;
    ssl_ciphers ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-CHACHA20-POLY1305:ECDHE-RSA-CHACHA20-POLY1305:DHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES256-GCM-SHA384;
    ssl_session_cache shared:SSL:10m;
    ssl_session_timeout 1d;
    ssl_session_tickets off;
    ssl_stapling on;
    ssl_stapling_verify on;

    # Nagłówki bezpieczeństwa
    add_header Strict-Transport-Security 'max-age=31536000; includeSubDomains' always;
    add_header X-Content-Type-Options 'nosniff' always;
    add_header X-Frame-Options 'SAMEORIGIN' always;
    add_header X-XSS-Protection '1; mode=block' always;
    add_header Referrer-Policy 'strict-origin-when-cross-origin' always;

    # Timeouts dla Odoo
    proxy_read_timeout 720s;
    proxy_connect_timeout 720s;
    proxy_send_timeout 720s;

    # Nagłówki proxy
    proxy_set_header X-Forwarded-Host $http_host;
    proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
    proxy_set_header X-Forwarded-Proto $scheme;
    proxy_set_header X-Real-IP $remote_addr;
    proxy_set_header Host $http_host;

    # Zwiększ limity dla dużych requestów (import danych)
    client_max_body_size 256M;
    client_body_buffer_size 256k;

    # Główna lokalizacja Odoo
    location / {
        proxy_redirect off;
        proxy_pass http://odoo;
    }

    # Longpolling dla czasu rzeczywistego (chat, notyfikacje)
    location /longpolling {
        proxy_pass http://odoochat;
        proxy_set_header Upgrade $http_upgrade;
        proxy_set_header Connection $connection_upgrade;
    }

    # WebSocket dla Odoo 17+
    location /websocket {
        proxy_pass http://odoochat;
        proxy_set_header Upgrade $http_upgrade;
        proxy_set_header Connection $connection_upgrade;
        proxy_set_header X-Forwarded-Host $http_host;
        proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
        proxy_set_header X-Forwarded-Proto $scheme;
        proxy_set_header X-Real-IP $remote_addr;
    }

    # Cache dla zasobów statycznych
    location ~* /web/static/ {
        proxy_cache_valid 200 90m;
        proxy_buffering on;
        expires 864000;
        proxy_pass http://odoo;
        add_header Cache-Control 'public';
    }

    # Cache dla contentu
    location ~* /web/content/ {
        proxy_cache_valid 200 90m;
        proxy_buffering on;
        expires 864000;
        proxy_pass http://odoo;
    }

    # Kompresja gzip
    gzip on;
    gzip_vary on;
    gzip_min_length 1024;
    gzip_proxied any;
    gzip_comp_level 6;
    gzip_types text/css text/scss text/plain text/xml application/xml application/json application/javascript application/pdf image/svg+xml;
    gzip_disable 'msie6';
}

Aktywuj konfigurację:

sudo ln -s /etc/nginx/sites-available/odoo /etc/nginx/sites-enabled/
sudo nginx -t
sudo systemctl reload nginx

Krok 4: Uzyskanie certyfikatu SSL

Użyj Certbot do automatycznego uzyskania i konfiguracji certyfikatu:

sudo certbot --nginx -d twoja-domena.pl -d www.twoja-domena.pl

Certbot automatycznie:

• Wygeneruje certyfikat SSL z Let's Encrypt
• Zmodyfikuje konfigurację Nginx dodając ścieżki do certyfikatów
• Skonfiguruje przekierowanie z HTTP na HTTPS
• Ustawi automatyczne odnowienie certyfikatu
• Zweryfikuje poprawność konfiguracji

Podczas instalacji wybierz opcję przekierowania całego ruchu na HTTPS (opcja 2).

Krok 5: Konfiguracja pliku odoo.conf

Edytuj plik odoo.conf aby dodać wsparcie dla proxy:

sudo nano /etc/odoo.conf

Dodaj lub zmodyfikuj następujące parametry:

[options]
# Włącz tryb proxy (WYMAGANE dla HTTPS przez reverse proxy)
proxy_mode = True

# Ograniczenie dostępu bezpośredniego do Odoo (bezpieczeństwo)
xmlrpc_interface = 127.0.0.1
netrpc_interface = 127.0.0.1

# Porty Odoo
xmlrpc_port = 8069
longpolling_port = 8072

# Filtr baz danych (WAŻNE w środowisku produkcyjnym)
# Ustaw regex dla dozwolonych nazw baz lub konkretną bazę
dbfilter = ^nazwa_twojej_bazy$

# Workers dla lepszej wydajności (opcjonalne, dla serwerów >2GB RAM)
# workers = 4
# max_cron_threads = 2

# Limity dla bezpieczeństwa
limit_time_cpu = 600
limit_time_real = 1200
limit_memory_hard = 2684354560
limit_memory_soft = 2147483648

Uwaga: Parametr proxy_mode = True jest kluczowy! Umożliwia on Odoo prawidłowe rozpoznawanie rzeczywistych adresów IP klientów oraz protokołu HTTPS poprzez nagłówki X-Forwarded przekazywane przez Nginx. Bez tego ustawienia sesje mogą nie działać poprawnie, a adresy IP w logach będą pokazywać 127.0.0.1.

Restart Odoo (jeśli używasz Odoo jako usługi systemd):

sudo systemctl restart odoo

Sprawdź czy Odoo uruchomił się poprawnie:

sudo systemctl status odoo

Weryfikacja konfiguracji HTTPS/SSL

Po zakończeniu konfiguracji sprawdź:

1. Dostęp przez HTTPS - otwórz https://twoja-domena.pl w przeglądarce
2. Ikona kłódki - powinna być widoczna w pasku adresu przeglądarki (zielona lub szara, w zależności od przeglądarki)
3. Przekierowanie HTTP→HTTPS - próba połączenia przez http://twoja-domena.pl powinna automatycznie przekierować na HTTPS
4. Test SSL - użyj narzędzi takich jak:
   • SSL Labs - pełna analiza konfiguracji SSL/TLS (cel: ocena A lub A+)
   • Security Headers - weryfikacja nagłówków bezpieczeństwa
5. Longpolling - zaloguj się do Odoo i sprawdź czy:
   • Notyfikacje pojawiają się w czasie rzeczywistym
   • Moduł komunikatora działa bez opóźnień
   • Współdzielona edycja rekordów synchronizuje się natychmiastowo
6. Test wydajności - sprawdź czy czasy ładowania nie uległy pogorszeniu
7. Mixed content - upewnij się, że wszystkie zasoby ładowane są przez HTTPS (sprawdź konsolę przeglądarki)

Dodatkowe zabezpieczenia i optymalizacja

Konfiguracja HTTP/2 i HTTP/3

Nowoczesne wersje Nginx wspierają HTTP/2 (już skonfigurowane powyżej) i HTTP/3 dla lepszej wydajności:

# Nginx 1.25+ z obsługą HTTP/3
listen 443 ssl http2;
listen 443 quic reuseport;
add_header Alt-Svc 'h3=":443"; ma=86400' always;

Wymuszenie silnych szyfrów

Konfiguracja już zawiera zalecane szyfry, ale możesz dodatkowo dodać:

# Diffie-Hellman parameters dla zwiększenia bezpieczeństwa
ssl_dhparam /etc/ssl/certs/dhparam.pem;

Wygeneruj parametry DH:

sudo openssl dhparam -out /etc/ssl/certs/dhparam.pem 4096

Uwaga: Generowanie zajmuje 10-30 minut w zależności od serwera.

Content Security Policy (CSP)

Dla dodatkowej ochrony przed XSS możesz dodać CSP, jednak wymaga to testowania z Odoo:

# Testuj w trybie report-only najpierw!
add_header Content-Security-Policy-Report-Only "default-src 'self' 'unsafe-inline' 'unsafe-eval'; img-src 'self' data: https:; font-src 'self' data:" always;

Rate limiting

Ochrona przed atakami bruteforce na login:

# W sekcji http w /etc/nginx/nginx.conf
limit_req_zone $binary_remote_addr zone=odoo_login:10m rate=5r/m;

# W sekcji server dla Odoo
location /web/login {
    limit_req zone=odoo_login burst=5 nodelay;
    proxy_pass http://odoo;
}

Automatyczne odnowienie certyfikatu

Certbot automatycznie konfiguruje odnowienie. Sprawdź czy działa:

sudo certbot renew --dry-run

Sprawdź status timera systemd:

sudo systemctl status certbot.timer

Możesz też dodać hook do restartu Nginx po odnowieniu:

sudo nano /etc/letsencrypt/renewal-hooks/deploy/reload-nginx.sh

Zawartość:

#!/bin/bash
systemctl reload nginx

Nadaj uprawnienia:

sudo chmod +x /etc/letsencrypt/renewal-hooks/deploy/reload-nginx.sh

Konfiguracja dla środowisk specjalnych

Odoo w Docker/Podman

Jeśli uruchamiasz Odoo w kontenerze, konfiguracja Nginx pozostaje taka sama, ale upewnij się, że:

• Porty 8069 i 8072 są zmapowane z kontenera: -p 8069:8069 -p 8072:8072
• W docker-compose.yml ustaw PROXY_MODE=true jako zmienną środowiskową
• Kontener może komunikować się z hostem (używaj host.docker.internal lub sieci bridge)

Przykład dla docker-compose:

services:
  odoo:
    image: odoo:17.0
    environment:
      - PROXY_MODE=true
    ports:
      - "127.0.0.1:8069:8069"
      - "127.0.0.1:8072:8072"
    volumes:
      - ./config:/etc/odoo
      - ./addons:/mnt/extra-addons

Środowiska wielodomenowe (multi-tenant)

Jeśli hostujesz wiele baz danych Odoo dla różnych klientów na różnych domenach:

1. Utwórz oddzielne pliki konfiguracyjne w /etc/nginx/sites-available/ dla każdej domeny
2. Użyj parametru dbfilter w odoo.conf aby każda domena pokazywała tylko swoją bazę danych:

   # Dla domeny klient1.com pokazuj tylko bazę klient1_db
   dbfilter = ^%h$

3. Powtórz proces uzyskiwania certyfikatu dla każdej domeny
4. Rozważ użycie wildcard certyfikatu dla subdomen (*.twoja-firma.pl)

Konfiguracja za CloudFlare

Jeśli używasz CloudFlare jako dodatkowej warstwy CDN/firewall:

• Ustaw tryb SSL na "Full (strict)" w CloudFlare
• Zainstaluj certyfikat Origin z CloudFlare lub używaj Let's Encrypt
• Dodaj nagłówek CF-Connecting-IP do odczytu prawdziwych IP:

  proxy_set_header X-Real-IP $http_cf_connecting_ip;

Rozwiązywanie problemów

Problem: Odoo nie jest dostępne przez HTTPS

Sprawdź logi Nginx:

sudo tail -f /var/log/nginx/error.log

Upewnij się, że Odoo działa na porcie 8069:

sudo netstat -tlnp | grep 8069

Sprawdź firewall:

sudo ufw status
sudo ufw allow 443/tcp

Problem: Błąd certyfikatu w przeglądarce

Sprawdź czy certyfikat został poprawnie zainstalowany:

sudo certbot certificates

Sprawdź daty ważności:

sudo openssl x509 -in /etc/letsencrypt/live/twoja-domena.pl/fullchain.pem -noout -dates

Przetestuj łańcuch certyfikatów:

sudo openssl s_client -connect twoja-domena.pl:443 -servername twoja-domena.pl

Problem: Mixed content warnings

Upewnij się, że:

• Parametr proxy_mode = True jest ustawiony w pliku konfiguracyjnym Odoo
• Odoo został zrestartowany po zmianie konfiguracji
• Nagłówek X-Forwarded-Proto jest przekazywany przez Nginx
• Nie masz zakodowanych na stałe linków HTTP w custom modułach

Sprawdź w logach Odoo czy proxy_mode jest aktywny:

sudo grep -i "proxy" /var/log/odoo/odoo-server.log

Problem: Sesje wygasają zbyt szybko lub nie działają

W środowiskach multi-tenant z HTTPS sprawdź konfigurację session_db:

# W odoo.conf
db_name = False  # dla multi-database
session_db = postgres_db_name  # opcjonalnie dedykowana baza dla sesji

Problem: Longpolling nie działa

Sprawdź czy:

• Port 8072 jest otwarty i Odoo go nasłuchuje: sudo netstat -tlnp | grep 8072
• Nginx poprawnie przekazuje nagłówki WebSocket (Upgrade, Connection)
• Timeout dla longpolling jest wystarczająco długi (720s)
• W Odoo 17 sprawdź również endpoint /websocket

Problem: 502 Bad Gateway po restarcie

Zwykle oznacza to, że Odoo nie jest jeszcze gotowy. Sprawdź logi Odoo:

sudo journalctl -u odoo -f

Może być potrzebne zwiększenie timeout w systemd:

sudo systemctl edit odoo

Dodaj:

[Service]
TimeoutStartSec=300

Monitoring i utrzymanie

Monitoring certyfikatu SSL

Skonfiguruj monitoring daty wygaśnięcia certyfikatu:

#!/bin/bash
# /usr/local/bin/check-ssl.sh

DOMAIN="twoja-domena.pl"
EXPIRY=$(echo | openssl s_client -servername $DOMAIN -connect $DOMAIN:443 2>/dev/null | openssl x509 -noout -enddate | cut -d= -f2)
EXPIRY_EPOCH=$(date -d "$EXPIRY" +%s)
NOW_EPOCH=$(date +%s)
DAYS_LEFT=$(( ($EXPIRY_EPOCH - $NOW_EPOCH) / 86400 ))

if [ $DAYS_LEFT -lt 30 ]; then
    echo "OSTRZEŻENIE: Certyfikat wygasa za $DAYS_LEFT dni!"
    # Możesz dodać wysłanie emaila lub notyfikacji
fi

Regularne sprawdzanie logów

# Błędy SSL w Nginx
sudo grep -i ssl /var/log/nginx/error.log

# Problemy z proxy w Odoo
sudo grep -i proxy /var/log/odoo/odoo-server.log

Aktualizacja konfiguracji SSL

Regularnie (co 6-12 miesięcy) sprawdzaj zalecenia Mozilla SSL Configuration Generator i aktualizuj parametry szyfrowania zgodnie z aktualnymi standardami bezpieczeństwa.

Konfiguracja dla środowisk wielodomenowych

Jeśli hostujesz wiele baz danych Odoo na różnych domenach, możesz skonfigurować osobne certyfikaty dla każdej z nich. Utwórz oddzielne pliki konfiguracyjne w /etc/nginx/sites-available/ dla każdej domeny i powtórz proces uzyskiwania certyfikatu dla każdej z nich.

Alternatywnie, dla wielu subdomen tej samej domeny, możesz użyć wildcard certyfikatu:

sudo certbot certonly --manual --preferred-challenges=dns -d *.twoja-domena.pl -d twoja-domena.pl

Będziesz musiał dodać wpis TXT w DNS do weryfikacji.

FAQ - Najczęściej zadawane pytania

Czy mogę używać Odoo bez HTTPS?

Technicznie tak, ale jest to wysoce niezalecane i stanowi poważne zagrożenie bezpieczeństwa. Odoo przetwarza wrażliwe dane biznesowe, w tym hasła użytkowników, dane finansowe, informacje o klientach i kontrahentach, dokumenty księgowe oraz potencjalnie dane osobowe podlegające RODO. Bez HTTPS wszystkie te dane są przesyłane w postaci niezaszyfrowanej (plain text), co oznacza że:

• Każda osoba w tej samej sieci (np. publiczne WiFi) może przechwycić dane
• Atakujący mogą wykonać atak man-in-the-middle i modyfikować dane w locie
• Hasła są widoczne dla administratorów sieci i potencjalnych podsłuchiwaczy
• Naruszasz prawdopodobnie RODO i inne regulacje o ochronie danych
• Współczesne przeglądarki ostrzegają użytkowników przed stronami HTTP, szczególnie przy formularzach logowania
• Niektóre funkcje przeglądarek (geolokalizacja, powiadomienia, PWA) wymagają HTTPS

W środowisku produkcyjnym HTTPS jest absolutnym wymogiem. Jedyny wyjątek to lokalne środowisko deweloperskie odizolowane od internetu.

Jak często muszę odnawiać certyfikat Let's Encrypt?

Certyfikaty Let's Encrypt są ważne przez 90 dni. To celowa decyzja projektowa mająca na celu wymuszenie automatyzacji. Na szczęście Certbot automatycznie konfiguruje zadanie systemd timer (lub cron w starszych systemach), które odnawia certyfikaty na 30 dni przed ich wygaśnięciem, co daje podwójny margines bezpieczeństwa. Nie musisz więc pamiętać o ręcznym odnawianiu.

Sprawdzenie automatycznego odnowienia:

sudo certbot renew --dry-run
sudo systemctl status certbot.timer
sudo systemctl list-timers | grep certbot

Certbot próbuje odnowić certyfikat dwa razy dziennie, ale faktyczna odnowa następuje tylko gdy certyfikat ma mniej niż 30 dni ważności. Proces jest całkowicie transparentny i nie powoduje przestojów.

Możesz sprawdzić historię odnowień w logach:

sudo cat /var/log/letsencrypt/letsencrypt.log

Czy konfiguracja SSL wpływa na wydajność Odoo?

Wpływ szyfrowania SSL/TLS na wydajność jest minimalny na współczesnym sprzęcie serwerowym. Nowoczesne procesory posiadają instrukcje AES-NI, które znacząco przyspieszają operacje kryptograficzne. W praktyce:

• Opóźnienie początkowe (handshake): 1-2ms dla TLS 1.3, 2-4ms dla TLS 1.2
• Narzut CPU: 1-5% w typowych scenariuszach
• Przepustowość: praktycznie bez wpływu na nowoczesnym sprzęcie

Co więcej, konfiguracja reverse proxy (Nginx) z SSL faktycznie może poprawić wydajność poprzez:

• Kompresję gzip - zmniejsza ilość przesyłanych danych o 60-80%
• Cache'owanie zasobów statycznych - pliki CSS/JS/obrazy serwowane są bezpośrednio przez Nginx bez angażowania Odoo
• HTTP/2 - multipleksowanie połączeń redukuje opóźnienia
• Connection pooling - Nginx efektywnie zarządza połączeniami do backendu
• SSL session reuse - zmniejsza narzut dla powracających użytkowników

W praktyce, prawidłowo skonfigurowany Nginx z HTTPS często daje lepszą wydajność niż Odoo działające bezpośrednio przez HTTP, szczególnie dla wielu jednoczesnych użytkowników.

Dla instalacji o bardzo wysokim obciążeniu możesz dodatkowo zoptymalizować wydajność poprzez:

• Użycie CDN (CloudFlare, AWS CloudFront) dla zasobów statycznych
• Włączenie OCSP stapling (ssl_stapling on;)
• Konfigurację SSL session cache (ssl_session_cache shared:SSL:10m;)
• Użycie dedykowanego sprzętu SSL offloading (tylko dla bardzo dużych instalacji)

Czy mogę używać tego samego certyfikatu dla wielu subdomen?

Tak, masz dwie opcje:

• Multi-domain (SAN) certyfikat - wymieniasz wszystkie domeny: certbot --nginx -d domena1.pl -d domena2.pl -d subdomena.domena1.pl
• Wildcard certyfikat - obejmuje wszystkie subdomeny: certbot certonly --manual --preferred-challenges=dns -d *.twoja-domena.pl (wymaga weryfikacji DNS)

Co zrobić gdy certyfikat wygasł?

Jeśli certyfikat wygasł (co nie powinno się zdarzyć przy działającym automatycznym odnowieniu):

sudo certbot renew --force-renewal
sudo systemctl reload nginx

Sprawdź dlaczego automatyczne odnowienie nie zadziałało:

sudo journalctl -u certbot.timer
sudo cat /var/log/letsencrypt/letsencrypt.log

Podsumowanie

Konfiguracja HTTPS/SSL dla Odoo to kluczowy element bezpiecznego wdrożenia systemu ERP. Dzięki darmowym certyfikatom Let's Encrypt i automatycznemu narzędziu Certbot, proces ten jest prosty, nie wymaga żadnych kosztów i zajmuje około 15-30 minut. Połączenie Nginx jako reverse proxy z certyfikatem SSL zapewnia nie tylko bezpieczeństwo, ale także lepszą wydajność, skalowalność i zgodność z najlepszymi praktykami bezpieczeństwa.

Kluczowe punkty do zapamiętania:

• HTTPS jest wymogiem, nie opcją dla środowisk produkcyjnych
• Let's Encrypt oferuje darmowe certyfikaty z automatycznym odnowieniem
• Nginx jako reverse proxy poprawia bezpieczeństwo i wydajność
• Parametr proxy_mode = True w odoo.conf jest krytyczny dla prawidłowego działania
• Regularne monitorowanie i aktualizacje konfiguracji SSL są niezbędne
• Konfiguracja SSL praktycznie nie wpływa na wydajność na nowoczesnym sprzęcie

Pamiętaj, aby regularnie sprawdzać logi systemu, monitorować daty wygaśnięcia certyfikatów (choć odnowienie jest automatyczne), testować backupy konfiguracji i aktualizować parametry bezpieczeństwa zgodnie z aktualnymi zaleceniami branżowymi. Bezpieczeństwo to proces ciągły, a HTTPS/SSL to tylko jeden z wielu elementów kompleksowej strategii ochrony danych w systemie Odoo.

Po skonfigurowaniu HTTPS warto również rozważyć implementację dodatkowych warstw bezpieczeństwa, takich jak:

• Firewall aplikacyjny (WAF) - np. ModSecurity z OWASP Core Rule Set
• Fail2ban dla ochrony przed bruteforce
• Regularne audyty bezpieczeństwa i testy penetracyjne
• Dwuskładnikowe uwierzytelnianie (2FA) dla użytkowników Odoo
• Regularne backupy konfiguracji i certyfikatów

Potrzebujesz pomocy w konfiguracji HTTPS/SSL dla Odoo? KK Innovations specjalizuje się we wdrożeniach i optymalizacji systemów Odoo. Nasz zespół ekspertów zadba o bezpieczeństwo, wydajność i niezawodność Twojego środowiska ERP zgodnie z najlepszymi praktykami i najnowszymi standardami branżowymi. Skontaktuj się z nami, aby omówić Twoje potrzeby i otrzymać profesjonalne wsparcie w zabezpieczeniu systemu Odoo!