Hello!
On Thu, Apr 11, 2019 at 03:55:31AM +0300, sergio via nginx-ru wrote:
> On 01/04/2019 19:22, Maxim Dounin wrote:
>
> > Давайте пойдём простым путём.
>
> Не похож он на простой.
Он простой в том смысле, что результат не зависит от ваших
оценочных суждений, а проверяем.
[...]
> > "nginx -T"
>
> Тут очень много всего, куча серверов, 909 строк, и не всё я могу
> показать. Давайте так:
>
> # nginx -T | grep "resol\|stapl"
> nginx: the configuration file /etc/nginx/nginx.conf syntax is ok
> nginx: configuration file /etc/nginx/nginx.conf test is successful
> ssl_stapling on;
> ssl_stapling_verify on;
> #resolver localhost;
Нет, так не работает. Если не хотите чего-то показывать -
воспроизведите проблему в песочнице и давайте полный конфиг из
неё.
Впрочем, я уже вижу проблему и без этого. Как и предполагалось
ранее - логов нужного уровня нет:
> > и debug log с обращением к OCSP-серверу
>
> У меня дебиан, nginx-debug нету. Я просто взял и заменил warn на debug
> в error_log на уровне http и на уровне server'а
Директиву error_log следует указывать на глобальном уровне.
Именно туда попадают сообщения, которые генерируются
инфраструктурным кодом, не привязанным к конкретному соединению
и/или модулю.
Поскольку на глобальном уровне error_log у вас, судя по всему, не
задан вообще, то используется error log, заданный при сборке -
/var/log/nginx/error.log - с уровнем логгирования error. Но этого
недостаточно, чтобы увидеть сообщения уровня warn, а тем более -
debug.
В результат в логе видно, что был вызыван certificate status
callback:
> вижу кучу невнятных записей в error.log со словами [debug], ни слова про
> ocsp:
>
> [debug] 30320#30320: *1 SSL certificate status callback
> [debug] 30320#30320: *1 SSL_do_handshake: -1
> [debug] 30320#30320: *1 SSL_get_error: 2
> [debug] 30320#30320: *1 epoll add event: fd:55 op:1 ev:80002001
> [debug] 30320#30320: *1 event timer add: 55: 6:4031539074
но не видно всего того, что начинает происходить после этого
callback'а уже без привязки к конкретному соединению. Должно быть
как-то так:
...
2019/04/11 22:37:56 [debug] 52632#100124: *1 SSL certificate status callback
2019/04/11 22:37:56 [debug] 52632#100124: posix_memalign: 29056000:2048 @16
2019/04/11 22:37:56 [debug] 52632#100124: ssl ocsp request
2019/04/11 22:37:56 [debug] 52632#100124: ssl ocsp request length 96, escape 3
2019/04/11 22:37:56 [warn] 52632#100124: no resolver defined to resolve
ocsp.cacert.org while requesting certificate status, responder:
ocsp.cacert.org, certificate: "/path/to/crt"
2019/04/11 22:37:56 [debug] 52632#100124: ssl ocsp connect
2019/04/11 22:37:56 [debug] 52632#100124: stream socket 9
2019/04/11 22:37:56 [debug] 52632#100124: connect to 213.154.225.237:80, fd:9 #2
2019/04/11 22:37:56 [debug] 52632#100124: kevent set event: 9: ft:-1 fl:0025
2019/04/11 22:37:56 [debug] 52632#100124: kevent set event: 9: ft:-2 fl:0025
2019/04/11 22:37:56 [debug] 52632#100124: ssl ocsp connect peer done
2019/04/11 22:37:56 [debug] 52632#100124: event timer add: 9: 6:351011347
2019/04/11 22:37:56 [debug] 52632#100124: event timer add: 9: 6:351011347
2019/04/11 22:37:56 [debug] 52632#100124: *1 SSL_do_handshake: 1
2019/04/11 22:37:56 [debug] 52632#100124: *1 SSL: TLSv1.2, cipher:
"ECDHE-RSA-AES256-GCM-SHA384 TLSv1.2 Kx=ECDH Au=RSA Enc=AESGCM(256) Mac=AEAD"
...
--
Maxim Dounin
http://mdounin.ru/
___
nginx-ru mailing list
nginx-ru@nginx.org
http://mailman.nginx.org/mailman/listinfo/nginx-ru
