Re: Падает nginx в случае истечения срока действия сертификата

Иван Мишин simplebox66 на gmail.com
Пт Авг 2 15:36:06 UTC 2019 

Добрый день. Есть множество хостов вида:

> server {
>     listen 80;
>     server_name example.com;
>         location / {
>                 proxy_ssl_session_reuse off;
>         proxy_ssl_certificate /etc/nginx/include/client/client.cer;
>         proxy_ssl_certificate_key
> 'engine:gostengy:n6e6e829f94729896d0e38a814354dcdec4e456';
>             proxy_ssl_ciphers
> GOST2012-GOST8912-GOST8912:GOST2001-GOST89-GOST89:HIGH;
>             proxy_ssl_protocols TLSv1 TLSv1.1 TLSv1.2;
>             proxy_pass https://world.cnet;
>             proxy_set_header Host world.net;
>             proxy_set_header X-Real-IP $remote_addr;
>            proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
>         }
> }


В случае если у одного из хостов истекает срок действия сертификата, то
отказывается работать nginx. Т.е. перестают работать абсолютно  все вирт
хосты.
В логах ошибка вида:

> [emerg] 2169#2169:
> ENGINE_load_private_key("9867b5ab2b2c88342766gg5e99a6a7c6ddc7e324") failed
> (SSL: error:80015033:lib(128):gng_support_getuserkey:GNG_ERR_LICENSE
> error:26096080:engine routines:ENGINE_load_private_key:failed loading
> private key)


хеши сертов в примерах изменил на ненастоящие.

Как сделать так чтобы nginx не ронял все хосты из-за того что на одном
хосте просрочился серт? Может есть какая-то деректива специальная чтобы
отключить например проверку срока годности сертификатов?

пт, 2 авг. 2019 г. в 18:29, Иван Мишин <simplebox66 на gmail.com>:

> Добрый день. Есть множество хостов вида:
>
>> server {
>>     listen 80;
>>     server_name example.com;
>>         location / {
>>                 proxy_ssl_session_reuse off;
>>         proxy_ssl_certificate /etc/nginx/include/client/client.cer;
>>         proxy_ssl_certificate_key
>> 'engine:gostengy:n6e6e829f94729896d0e38a814354dcdec4e456';
>>             proxy_ssl_ciphers
>> GOST2012-GOST8912-GOST8912:GOST2001-GOST89-GOST89:HIGH;
>>             proxy_ssl_protocols TLSv1 TLSv1.1 TLSv1.2;
>>             proxy_pass https://world.cnet;
>>             proxy_set_header Host world.net;
>>             proxy_set_header X-Real-IP $remote_addr;
>>            proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
>>         }
>> }
>
>
> В случае если у одного из хостов истекает срок действия сертификата, то
> отказывается работать nginx. Т.е. перестают работать абсолютно  все вирт
> хосты.
> В логах ошибка вида:
>
----------- следущая часть -----------
Вложение в формате HTML было извлечено…
URL: <http://mailman.nginx.org/pipermail/nginx-ru/attachments/20190802/23074edf/attachment.html>

Подробная информация о списке рассылки nginx-ru