Hello! On Fri, Aug 02, 2019 at 06:36:06PM +0300, Иван Мишин wrote:
> Добрый день. Есть множество хостов вида: > > > server { > > listen 80; > > server_name example.com; > > location / { > > proxy_ssl_session_reuse off; > > proxy_ssl_certificate /etc/nginx/include/client/client.cer; > > proxy_ssl_certificate_key > > 'engine:gostengy:n6e6e829f94729896d0e38a814354dcdec4e456'; > > proxy_ssl_ciphers > > GOST2012-GOST8912-GOST8912:GOST2001-GOST89-GOST89:HIGH; > > proxy_ssl_protocols TLSv1 TLSv1.1 TLSv1.2; > > proxy_pass https://world.cnet; > > proxy_set_header Host world.net; > > proxy_set_header X-Real-IP $remote_addr; > > proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for; > > } > > } > > > В случае если у одного из хостов истекает срок действия сертификата, то > отказывается работать nginx. Т.е. перестают работать абсолютно все вирт > хосты. > В логах ошибка вида: > > > [emerg] 2169#2169: > > ENGINE_load_private_key("9867b5ab2b2c88342766gg5e99a6a7c6ddc7e324") failed > > (SSL: error:80015033:lib(128):gng_support_getuserkey:GNG_ERR_LICENSE > > error:26096080:engine routines:ENGINE_load_private_key:failed loading > > private key) > > > хеши сертов в примерах изменил на ненастоящие. > > Как сделать так чтобы nginx не ронял все хосты из-за того что на одном > хосте просрочился серт? Может есть какая-то деректива специальная чтобы > отключить например проверку срока годности сертификатов? Судя по ошибке - nginx не падает, а отказывается запускаться из-за ошибки, которая возникает при загрузке сертификата . Если вы nginx при этом не останавливали зачем-то сами - всё продолжит работать. А вообще - вам к авторам engine'а, который вы используете для загрузки сертификатов, ошибка случается именно там. Если бы вместо ошибки был загружен-таки просроченный сертификат, как это происходит при загрузке сертификатов из файлов - проблемы бы вообще не было. Ну или просто переходите на файлы, и будет вам счастье. -- Maxim Dounin http://mdounin.ru/ _______________________________________________ nginx-ru mailing list nginx-ru@nginx.org http://mailman.nginx.org/mailman/listinfo/nginx-ru