У меня есть удалось создать мои сертификаты с LE без ошибок, мне также удалось перенаправить мой трафик с порта 80 на порт 443. Но когда я перезагружаю свой сервер nginx, я не могу получить доступ к своему веб-сайту. Журналы ошибок Ngnix показывают эту строку:
4 no "ssl_certificate" is defined in server listening on SSL port while SSL handshaking, client: 192.168.0.104, server: 0.0.0.0:443
Я думаю, это означает, что он не может найти сертификаты, которые я затем перешел по пути сертификатов, и они оба там, в чем может быть проблема? Вот как выглядит моя конфигурация Ngnix:
server {
listen 80;
server_name pumaportal.com www.pumaportal.com;
return 301 https://$server_name$request_uri;
}
server {
listen 443 ssl;
server_name pumaportal.com www.pumaportal.com;
add_header Strict-Transport-Security "max-age=31536000";
ssl_certificate /etc/letsencrypt/live/pumaportal.com/fullchain.pem;
ssl_certificate_key /etc/letsencrypt/live/pumaportal.com/privkey.pem;
ssl_stapling on;
ssl_stapling_verify on;
access_log /var/log/nginx/sub.log combined;
location /.well-known {
alias /[MY PATH]/.well-known;
}
location / {
proxy_pass http://localhost:2000;
proxy_http_version 1.1;
proxy_set_header Upgrade $http_upgrade;
proxy_set_header Connection 'upgrade';
proxy_set_header Host $host;
proxy_cache_bypass $http_upgrade;
proxy_set_header X-Forwarded-For $remote_addr;
}
}
Все кажется довольно простым, я не понимаю, в чем может быть проблема.
После запуска nginx -t все выглядит нормально:
nginx: the configuration file /etc/nginx/nginx.conf syntax is ok
nginx: configuration file /etc/nginx/nginx.conf test is successful
Я предполагаю, что у вас есть другой сервер прослушивание порта 443. Для этого сервера не задан ssl_certificate, и он выбирается автоматически (SNI). Попробуйте удалить все символические ссылки из / etc / nginx / sites-enabled, кроме этого одного сервера, который вы хотите заставить работать (если это возможно, в противном случае проверьте все свои серверы на прослушивание 443 без правильной настройки).
Я исправил ту же проблему сегодня утром, поэтому я здесь, чтобы прояснить точку зрения CA (которая, теперь, когда я понимаю проблему, была хорошо сделана), у вас, скорее всего, есть два серверные блоки:
# default server { listen 443 default_server; # Note the lack of `ssl` server_name _; #... } #real site server { listen 443 ssl; server_name ; #... }
SNI будет соответствовать только тем, которые помечены как прослушиватель ssl
. Однако сервер по умолчанию будет захватывать весь входящий трафик на 443, независимо от SSL или нет. Следовательно, он фактически не дает SNI вообще работать, сразу с места в карьер, собирая весь трафик для себя.
Симптомы:
nginx -t
и перезагрузка службы) Решения:
Я устранил проблему сегодня утром, удалив блок сервера по умолчанию, что позволило сопоставить SNI с приемниками SSL.
Альтернативным решением было бы добавить прослушиватель ssl
и ssl_certificate
строки к блоку сервера, чтобы SNI был включен на вашем хосте по умолчанию. Вы по-прежнему будете получать ошибки SSL, так что это не лучшее решение, но оно позволит вашему SNI работать :)
Проверьте правильность прав доступа к файлам для сертификатов. Опубликуйте список каталогов ( ls -la
)
Поздно, как обычно, но поскольку это помогло мне ... Проверьте, не поврежден ли сертификат. При построении "унифицированного" crt (crt + intermediate), выполняя
$cat server.crt provider.intermediate > unified.crt
, я каким-то образом потерял LF и получил такую строку:
-----END CERTIFICATE----------BEGIN CERTIFICATE-----
вместо
-----END CERTIFICATE-----
-----BEGIN CERTIFICATE-----
, и nginx не принял сертификат и завершился с указанной ошибкой выше.
Выполнение
# openssl x509 -in unified.cert -text -out
дало мне подсказку, что openssl выйдет из строя.
Вам необходимо определить единственный параметр
default_server
в конфигурации nginx.
Примените default_server
либо на example.com, либо на www.example. com. Не оба.
Следовательно, это будет работать:
server {
listen 443 ssl;
listen 80;
server_name example.com;
return 301 https://www.example.com$request_uri;
}
server {
listen 80 default_server;
server_name www.example.com;
return 301 https://www.example.com$request_uri;
}
server {
listen 443 ssl default_server;
server_name www.example.com;
root /var/www/example.com/public;
index index.php index.html index.nginx-debian.html;
ssl on;
ssl_certificate /etc/ssl/chain.crt;
ssl_certificate_key /etc/ssl/examplecom.key;
(rest of your nginx config goes here....)
}
Примечание для виртуальных хостов: убедитесь, что параметр default_server
не определен где-либо еще - если у вас есть несколько хостов на сервере.