Re: Падает nginx в случае истечения срока действия сертификата
Hello!
On Fri, Aug 02, 2019 at 06:36:06PM +0300, Иван Мишин wrote:
> Добрый день. Есть множество хостов вида:
>
> > server {
> > listen 80;
> > server_name example.com;
> > location / {
> > proxy_ssl_session_reuse off;
> > proxy_ssl_certificate /etc/nginx/include/client/client.cer;
> > proxy_ssl_certificate_key
> > 'engine:gostengy:n6e6e829f94729896d0e38a814354dcdec4e456';
> > proxy_ssl_ciphers
> > GOST2012-GOST8912-GOST8912:GOST2001-GOST89-GOST89:HIGH;
> > proxy_ssl_protocols TLSv1 TLSv1.1 TLSv1.2;
> > proxy_pass https://world.cnet;
> > proxy_set_header Host world.net;
> > proxy_set_header X-Real-IP $remote_addr;
> >proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
> > }
> > }
>
>
> В случае если у одного из хостов истекает срок действия сертификата, то
> отказывается работать nginx. Т.е. перестают работать абсолютно все вирт
> хосты.
> В логах ошибка вида:
>
> > [emerg] 2169#2169:
> > ENGINE_load_private_key("9867b5ab2b2c88342766gg5e99a6a7c6ddc7e324") failed
> > (SSL: error:80015033:lib(128):gng_support_getuserkey:GNG_ERR_LICENSE
> > error:26096080:engine routines:ENGINE_load_private_key:failed loading
> > private key)
>
>
> хеши сертов в примерах изменил на ненастоящие.
>
> Как сделать так чтобы nginx не ронял все хосты из-за того что на одном
> хосте просрочился серт? Может есть какая-то деректива специальная чтобы
> отключить например проверку срока годности сертификатов?
Судя по ошибке - nginx не падает, а отказывается запускаться из-за
ошибки, которая возникает при загрузке сертификата . Если вы
nginx при этом не останавливали зачем-то сами - всё продолжит
работать.
А вообще - вам к авторам engine'а, который вы используете для
загрузки сертификатов, ошибка случается именно там. Если бы
вместо ошибки был загружен-таки просроченный сертификат, как это
происходит при загрузке сертификатов из файлов - проблемы бы
вообще не было. Ну или просто переходите на файлы, и будет вам
счастье.
--
Maxim Dounin
http://mdounin.ru/
___
nginx-ru mailing list
nginx-ru@nginx.org
http://mailman.nginx.org/mailman/listinfo/nginx-ru
Re: Падает nginx в случае истечения срока действия сертификата
Добрый день. Есть множество хостов вида:
> server {
> listen 80;
> server_name example.com;
> location / {
> proxy_ssl_session_reuse off;
> proxy_ssl_certificate /etc/nginx/include/client/client.cer;
> proxy_ssl_certificate_key
> 'engine:gostengy:n6e6e829f94729896d0e38a814354dcdec4e456';
> proxy_ssl_ciphers
> GOST2012-GOST8912-GOST8912:GOST2001-GOST89-GOST89:HIGH;
> proxy_ssl_protocols TLSv1 TLSv1.1 TLSv1.2;
> proxy_pass https://world.cnet;
> proxy_set_header Host world.net;
> proxy_set_header X-Real-IP $remote_addr;
>proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
> }
> }
В случае если у одного из хостов истекает срок действия сертификата, то
отказывается работать nginx. Т.е. перестают работать абсолютно все вирт
хосты.
В логах ошибка вида:
> [emerg] 2169#2169:
> ENGINE_load_private_key("9867b5ab2b2c88342766gg5e99a6a7c6ddc7e324") failed
> (SSL: error:80015033:lib(128):gng_support_getuserkey:GNG_ERR_LICENSE
> error:26096080:engine routines:ENGINE_load_private_key:failed loading
> private key)
хеши сертов в примерах изменил на ненастоящие.
Как сделать так чтобы nginx не ронял все хосты из-за того что на одном
хосте просрочился серт? Может есть какая-то деректива специальная чтобы
отключить например проверку срока годности сертификатов?
пт, 2 авг. 2019 г. в 18:29, Иван Мишин :
> Добрый день. Есть множество хостов вида:
>
>> server {
>> listen 80;
>> server_name example.com;
>> location / {
>> proxy_ssl_session_reuse off;
>> proxy_ssl_certificate /etc/nginx/include/client/client.cer;
>> proxy_ssl_certificate_key
>> 'engine:gostengy:n6e6e829f94729896d0e38a814354dcdec4e456';
>> proxy_ssl_ciphers
>> GOST2012-GOST8912-GOST8912:GOST2001-GOST89-GOST89:HIGH;
>> proxy_ssl_protocols TLSv1 TLSv1.1 TLSv1.2;
>> proxy_pass https://world.cnet;
>> proxy_set_header Host world.net;
>> proxy_set_header X-Real-IP $remote_addr;
>>proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
>> }
>> }
>
>
> В случае если у одного из хостов истекает срок действия сертификата, то
> отказывается работать nginx. Т.е. перестают работать абсолютно все вирт
> хосты.
> В логах ошибка вида:
>
___
nginx-ru mailing list
nginx-ru@nginx.org
http://mailman.nginx.org/mailman/listinfo/nginx-ru
Падает nginx в случае истечения срока действия сертификата
Добрый день. Есть множество хостов вида:
> server {
> listen 80;
> server_name example.com;
> location / {
> proxy_ssl_session_reuse off;
> proxy_ssl_certificate /etc/nginx/include/client/client.cer;
> proxy_ssl_certificate_key
> 'engine:gostengy:n6e6e829f94729896d0e38a814354dcdec4e456';
> proxy_ssl_ciphers
> GOST2012-GOST8912-GOST8912:GOST2001-GOST89-GOST89:HIGH;
> proxy_ssl_protocols TLSv1 TLSv1.1 TLSv1.2;
> proxy_pass https://world.cnet;
> proxy_set_header Host world.net;
> proxy_set_header X-Real-IP $remote_addr;
>proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
> }
> }
В случае если у одного из хостов истекает срок действия сертификата, то
отказывается работать nginx. Т.е. перестают работать абсолютно все вирт
хосты.
В логах ошибка вида:
___
nginx-ru mailing list
nginx-ru@nginx.org
http://mailman.nginx.org/mailman/listinfo/nginx-ru
