From d0b632d6e67f414c25bec5a22f0579d06ea8b108 Mon Sep 17 00:00:00 2001
From: "srvproxy001.itguys.com.br" <srvproxy001@itguys.com.br>
Date: Tue, 23 Sep 2025 14:20:48 -0300
Subject: [PATCH] =?UTF-8?q?[Auto-Sync]=20Atualiza=C3=A7=C3=A3o=20das=20con?=
 =?UTF-8?q?figura=C3=A7=C3=B5es=20em=20srvproxy001.itguys.com.br=20-=20202?=
 =?UTF-8?q?5-09-23=2014:20:48?=
MIME-Version: 1.0
Content-Type: text/plain; charset=UTF-8
Content-Transfer-Encoding: 8bit

---
 .../cloud.grupopralog.com.br.conf             | 154 ++++++++++++++++++
 1 file changed, 154 insertions(+)
 create mode 100644 nginx/sites-available/cloud.grupopralog.com.br.conf

diff --git a/nginx/sites-available/cloud.grupopralog.com.br.conf b/nginx/sites-available/cloud.grupopralog.com.br.conf
new file mode 100644
index 0000000..b509b79
--- /dev/null
+++ b/nginx/sites-available/cloud.grupopralog.com.br.conf
@@ -0,0 +1,154 @@
+# ARQUIVO: /etc/nginx/sites-available/cloud.grupopralog.com.br.conf
+# DATA DA ALTERAÇÃO: 2025-09-23 13:54
+#
+# AUDITORIA E CORREÇÃO DE CONFIGURAÇÃO UNIFICADA PARA NEXTCLOUD + OFFICE ONLINE
+# VERSÃO: 5.1 (Ajuste final no cabeçalho Host para o backend do OOS)
+#
+# EXPLICAÇÕES GERAIS:
+#
+# 1. ARQUITETURA UNIFICADA:
+#    - Este arquivo agora serve como o único ponto de entrada para os usuários.
+#      Ele recebe todas as requisições em 'cloud.grupopralog.com.br' e as
+#      distribui para o backend correto (Nextcloud ou Office Online) com base na URL.
+#      Isso simplifica a gestão de certificados SSL e a configuração geral.
+#
+# 2. UPSTREAMS COM IP DIRETO:
+#    - Os upstreams agora usam os IPs internos dos servidores de backend.
+#      Isso é mais rápido e confiável do que usar nomes DNS que precisam ser resolvidos.
+#
+# 3. PARÂMETROS SSL/TLS INTEGRADOS:
+#    - O 'include' para 'ssl_params.conf' foi removido. As melhores práticas de
+#      segurança para SSL/TLS foram adicionadas diretamente neste arquivo,
+#      garantindo que a configuração seja auto-contida e explícita.
+#
+# 4. CORREÇÃO DO PROXY DO OFFICE ONLINE (PONTO CRÍTICO):
+#    - O cabeçalho 'Host' agora é definido explicitamente como "srvoffice001.itguys.com.br",
+#      que é o valor que o backend do Office Online espera receber, conforme
+#      configurado no 'InternalUrl' do Farm. Isso resolve o erro 404.
+#    - A lógica completa de tratamento de CORS para as requisições 'OPTIONS' foi
+#      adicionada a este bloco, resolvendo os erros no navegador.
+#    - Foram adicionados os cabeçalhos para suporte a WebSockets, necessários para
+#      a edição colaborativa.
+#
+# 5. BLOCO NEXTCLOUD:
+#    - A rota principal '/' continua direcionando para o Nextcloud, com todas as
+#      configurações de proxy recomendadas para seu correto funcionamento.
+
+# ------------------------------------------------------------------------------
+# A. UPSTREAMS
+# ------------------------------------------------------------------------------
+upstream nextcloud_backend {
+    server 172.16.253.12;
+}
+
+# Usando o IP interno do servidor Office Online para melhor performance e confiabilidade.
+upstream officeonline_backend {
+    server 172.16.253.101;
+}
+
+# ==============================================================================
+# B. BLOCO HTTP: Redirecionar para HTTPS
+# ==============================================================================
+server {
+    listen 80;
+    listen [::]:80;
+    server_name cloud.grupopralog.com.br;
+
+    location /.well-known/acme-challenge/ {
+        root /var/www/html;
+    }
+
+    location / {
+        return 301 https://$host$request_uri;
+    }
+}
+
+# ==============================================================================
+# C. BLOCO HTTPS: Servidor Principal Unificado
+# ==============================================================================
+server {
+    listen 443 ssl http2;
+    listen [::]:443 ssl http2;
+    server_name cloud.grupopralog.com.br;
+
+    client_max_body_size 10G;
+    access_log /var/log/nginx/access.log detailed_proxy;
+    error_log /var/log/nginx/error.log;
+
+    # --- Parâmetros de SSL/TLS Integrados ---
+    ssl_certificate /etc/letsencrypt/live/cloud.grupopralog.com.br/fullchain.pem;
+    ssl_certificate_key /etc/letsencrypt/live/cloud.grupopralog.com.br/privkey.pem;
+
+    ssl_protocols TLSv1.2 TLSv1.3;
+    ssl_prefer_server_ciphers on;
+    ssl_ciphers "EECDH+AESGCM:EDH+AESGCM:AES256+EECDH:AES256+EDH";
+    ssl_ecdh_curve secp384r1;
+    ssl_session_cache shared:SSL:50m; # Mantendo 50m para consistência com o resto do servidor
+    ssl_session_timeout 10m;
+
+    # --- Cabeçalhos de Segurança ---
+    add_header Strict-Transport-Security "max-age=15552000; includeSubDomains" always;
+    add_header X-Content-Type-Options "nosniff" always;
+    add_header X-XSS-Protection "1; mode=block" always;
+    add_header X-Frame-Options "SAMEORIGIN" always;
+
+    # --------------------------------------------------------------------------
+    # H. ROTAS ESPECÍFICAS (LOCATIONS)
+    # --------------------------------------------------------------------------
+    location = /.well-known/carddav { return 301 $scheme://$host/remote.php/dav; }
+    location = /.well-known/caldav  { return 301 $scheme://$host/remote.php/dav; }
+
+    # ==========================================================================
+    # BLOCO DO OFFICE ONLINE CORRIGIDO - Bloco 4
+    # ==========================================================================
+    location ~ ^/(m|x|we|wv|op/view) {
+        # Tratamento de CORS para permitir requisições do navegador
+        if ($request_method = 'OPTIONS') {
+            add_header 'Access-Control-Allow-Origin' "$scheme://$http_host";
+            add_header 'Access-Control-Allow-Methods' 'GET, POST, OPTIONS, HEAD';
+            add_header 'Access-Control-Allow-Headers' 'Authorization, Content-Type, Accept, Origin, User-Agent, DNT, Cache-Control, X-Mx-ReqToken, Keep-Alive, X-Requested-With, If-Modified-Since';
+            add_header 'Access-Control-Allow-Credentials' 'true';
+            add_header 'Access-Control-Max-Age' 1728000;
+            return 204;
+        }
+        
+        add_header 'Access-Control-Allow-Origin' "$scheme://$http_host" always;
+        add_header 'Access-Control-Allow-Credentials' 'true' always;
+        
+        # Proxy para o backend do Office Online
+        proxy_pass http://officeonline_backend;
+
+        # Cabeçalhos de proxy CORRIGIDOS
+        proxy_set_header Host "srvoffice001.itguys.com.br"; # <-- AJUSTE FINAL AQUI
+        proxy_set_header X-Real-IP $remote_addr;
+        proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
+        proxy_set_header X-Forwarded-Proto $scheme;
+        proxy_set_header X-Forwarded-Host $host;
+        
+        # Cabeçalhos para WebSockets (edição colaborativa)
+        proxy_http_version 1.1;
+        proxy_set_header Upgrade $http_upgrade;
+        proxy_set_header Connection "upgrade";
+    }
+
+    # --------------------------------------------------------------------------
+    # Rota Principal da Aplicação Nextcloud - Bloco 5
+    # --------------------------------------------------------------------------
+    location / {
+        proxy_pass http://nextcloud_backend;
+
+        proxy_set_header Host $host;
+        proxy_set_header X-Real-IP $remote_addr;
+        proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
+        proxy_set_header X-Forwarded-Proto $scheme;
+        proxy_set_header X-Forwarded-Host $host;
+        proxy_set_header X-Forwarded-Port $server_port;
+        
+        proxy_http_version 1.1;
+        proxy_connect_timeout 60s;
+        proxy_read_timeout 3600s;
+        proxy_send_timeout 3600s;
+        proxy_buffering off;
+        proxy_request_buffering off;
+    }
+}