Так получилось, что у меня водится целый зоопарк различных серверов с различными возможностями и ограничениями. Тут пришла пора обновить сертификаты и... понеслась.

Для стандартных сертификатов (crt+key) мне без проблем по старым настройкам выдал все freessl. Тут просто сконвертил в нужные форматы и можно заново привязывать.

Проблема выскочила с облаком. Так как там помимо всего прочего стоит HSTS то сервак после истечения срока сертификата вообще не дает зайти на страницу даже с допущением СЕРТИФИКАТ ПРОСРОЧЕН. Все бы хорошо, но в Apache там стоят pem сертификаты fullchain.pem, privkey.pem. Как получить их из имеющихся я (пока) так и не понял и думал найти путь проще, поэтому использовал certbot который стоит у меня на другом серваке. Поскольку маршрутизация по доменам и адресам у меня весьма запутанная, то для генерации по порту 80 оказалось возможно использовать только основной WWW сервер, на котором вручную надо создать acme-challenge файл, в  то время как certbot может работать только на другом серваке, куда не попасть по порту 80 ну никак.

В общем запускаю certbot, указываю генерация вручную, домен. (certbot certonly -d домен --manual)

Далее копипаст имя файла которое должно быть в челлендже и в него копипаст строку.После этого получаю нужные мне файлы. Дальше надо их между серваками перекинуть через Samba. Тут вышла тонкость что надо при копировании из папки linux'а указать что копировать без сохранения аттрибутов и Follow links, тк certbot указывает на папку в которую сунул линками сертификаты иначе у меня нифига не копировалось в шару (естественно).

Ну а дальше - копируем через самбу в папку с сертификатом сервера на котором стоит SSL и этот поддомен и подключаем файлы в настройках Apache

Пока во всем разобрался блин потратил кучу времени. (((

Вот чтобы не забыть, если зависла терминальная сессия или еще какая фигня, то можно попробовать подключиться с любого компа в сети через командную строку и там все разрулить

net use /user:/ЛОГИН \\IPсервера\C$

В моем случае простой логин разблокировал зависшую сессию терминала и дал подключиться по RDP к Windows10

в конфиге сервера добвавить

bind-address = LAN IP (можно конечно WAN если база напрямую будет смотреть в интернет, но... это для психов точно)

GRANT ALL PRIVILEGES ON `имя_базы`.* TO login-user@'%' IDENTIFIED BY 'пароль';

Можно создать отдельного пользователя для внешнего доступа.

Важно - пользователь@localhost - это одно, пользователь@1хх.ххх.ххх.ххх - это вообще другое.
 

В ходе работы над заменой внешних сервисов на смартфоне/компе (Google, Yandex... диск, навигация, карты, почта, календарь etc), добрался до карт. Поскольку был интерес сделать все независимым от чужих серверов/желаний собрал внутри сети картографический сервер на базе данных карт OpenStreetMaps.

Поскольку многие вещи в linux пока даются  с трудом, использовал скрипт OpenTileServer. Его впихнул в виртуальную машину с 5 ядрами core-i5 и 8Gb ОЗУ. Копию положил с git чтобы под рукой было. Карты загружал по регионам - т.к. Россия слишком велика разом перевариться в БД.

С 10й попытки наконец удалось настроить формирование Tiles (нарезки карты в разных масштабах) и прикрутить их в nextCloud.

Далее по плану - геокодинг и маршруты. А для этого предстоит плотненько почитать про принципы работы различных GIS и их расширений.

Для работы с PostGreSQL+GIS выбрал пару программ - DBeaver а для визуализации QGIS. Обе community free.

Чтобы не забыть вдруг еще пригодится - исправление ошибки при установки VPN соединения с L2TP/IPSEC сервером.

HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Rasman\Parameters,
"Cоздать" -> "Параметр Dword". : "ProhibitIpSec". Значение 1.