Re: Падает nginx в случае истечения срока действия сертификата
Hello! On Fri, Aug 02, 2019 at 06:36:06PM +0300, Иван Мишин wrote: > Добрый день. Есть множество хостов вида: > > > server { > > listen 80; > > server_name example.com; > > location / { > > proxy_ssl_session_reuse off; > > proxy_ssl_certificate /etc/nginx/include/client/client.cer; > > proxy_ssl_certificate_key > > 'engine:gostengy:n6e6e829f94729896d0e38a814354dcdec4e456'; > > proxy_ssl_ciphers > > GOST2012-GOST8912-GOST8912:GOST2001-GOST89-GOST89:HIGH; > > proxy_ssl_protocols TLSv1 TLSv1.1 TLSv1.2; > > proxy_pass https://world.cnet; > > proxy_set_header Host world.net; > > proxy_set_header X-Real-IP $remote_addr; > >proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for; > > } > > } > > > В случае если у одного из хостов истекает срок действия сертификата, то > отказывается работать nginx. Т.е. перестают работать абсолютно все вирт > хосты. > В логах ошибка вида: > > > [emerg] 2169#2169: > > ENGINE_load_private_key("9867b5ab2b2c88342766gg5e99a6a7c6ddc7e324") failed > > (SSL: error:80015033:lib(128):gng_support_getuserkey:GNG_ERR_LICENSE > > error:26096080:engine routines:ENGINE_load_private_key:failed loading > > private key) > > > хеши сертов в примерах изменил на ненастоящие. > > Как сделать так чтобы nginx не ронял все хосты из-за того что на одном > хосте просрочился серт? Может есть какая-то деректива специальная чтобы > отключить например проверку срока годности сертификатов? Судя по ошибке - nginx не падает, а отказывается запускаться из-за ошибки, которая возникает при загрузке сертификата . Если вы nginx при этом не останавливали зачем-то сами - всё продолжит работать. А вообще - вам к авторам engine'а, который вы используете для загрузки сертификатов, ошибка случается именно там. Если бы вместо ошибки был загружен-таки просроченный сертификат, как это происходит при загрузке сертификатов из файлов - проблемы бы вообще не было. Ну или просто переходите на файлы, и будет вам счастье. -- Maxim Dounin http://mdounin.ru/ ___ nginx-ru mailing list nginx-ru@nginx.org http://mailman.nginx.org/mailman/listinfo/nginx-ru
Re: Падает nginx в случае истечения срока действия сертификата
Добрый день. Есть множество хостов вида: > server { > listen 80; > server_name example.com; > location / { > proxy_ssl_session_reuse off; > proxy_ssl_certificate /etc/nginx/include/client/client.cer; > proxy_ssl_certificate_key > 'engine:gostengy:n6e6e829f94729896d0e38a814354dcdec4e456'; > proxy_ssl_ciphers > GOST2012-GOST8912-GOST8912:GOST2001-GOST89-GOST89:HIGH; > proxy_ssl_protocols TLSv1 TLSv1.1 TLSv1.2; > proxy_pass https://world.cnet; > proxy_set_header Host world.net; > proxy_set_header X-Real-IP $remote_addr; >proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for; > } > } В случае если у одного из хостов истекает срок действия сертификата, то отказывается работать nginx. Т.е. перестают работать абсолютно все вирт хосты. В логах ошибка вида: > [emerg] 2169#2169: > ENGINE_load_private_key("9867b5ab2b2c88342766gg5e99a6a7c6ddc7e324") failed > (SSL: error:80015033:lib(128):gng_support_getuserkey:GNG_ERR_LICENSE > error:26096080:engine routines:ENGINE_load_private_key:failed loading > private key) хеши сертов в примерах изменил на ненастоящие. Как сделать так чтобы nginx не ронял все хосты из-за того что на одном хосте просрочился серт? Может есть какая-то деректива специальная чтобы отключить например проверку срока годности сертификатов? пт, 2 авг. 2019 г. в 18:29, Иван Мишин : > Добрый день. Есть множество хостов вида: > >> server { >> listen 80; >> server_name example.com; >> location / { >> proxy_ssl_session_reuse off; >> proxy_ssl_certificate /etc/nginx/include/client/client.cer; >> proxy_ssl_certificate_key >> 'engine:gostengy:n6e6e829f94729896d0e38a814354dcdec4e456'; >> proxy_ssl_ciphers >> GOST2012-GOST8912-GOST8912:GOST2001-GOST89-GOST89:HIGH; >> proxy_ssl_protocols TLSv1 TLSv1.1 TLSv1.2; >> proxy_pass https://world.cnet; >> proxy_set_header Host world.net; >> proxy_set_header X-Real-IP $remote_addr; >>proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for; >> } >> } > > > В случае если у одного из хостов истекает срок действия сертификата, то > отказывается работать nginx. Т.е. перестают работать абсолютно все вирт > хосты. > В логах ошибка вида: > ___ nginx-ru mailing list nginx-ru@nginx.org http://mailman.nginx.org/mailman/listinfo/nginx-ru
Падает nginx в случае истечения срока действия сертификата
Добрый день. Есть множество хостов вида: > server { > listen 80; > server_name example.com; > location / { > proxy_ssl_session_reuse off; > proxy_ssl_certificate /etc/nginx/include/client/client.cer; > proxy_ssl_certificate_key > 'engine:gostengy:n6e6e829f94729896d0e38a814354dcdec4e456'; > proxy_ssl_ciphers > GOST2012-GOST8912-GOST8912:GOST2001-GOST89-GOST89:HIGH; > proxy_ssl_protocols TLSv1 TLSv1.1 TLSv1.2; > proxy_pass https://world.cnet; > proxy_set_header Host world.net; > proxy_set_header X-Real-IP $remote_addr; >proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for; > } > } В случае если у одного из хостов истекает срок действия сертификата, то отказывается работать nginx. Т.е. перестают работать абсолютно все вирт хосты. В логах ошибка вида: ___ nginx-ru mailing list nginx-ru@nginx.org http://mailman.nginx.org/mailman/listinfo/nginx-ru