Ключ и сертификат от собственного CA возможны?
Ключ и сертификат от собственного CA возможны?
Доброго времени суток. Сразу обозначу. CentOS 7.7.1908 (3.10.0-1062.1.2.el7.x86_64). Установил панель, не мог пробиться к логин/парольному приглашению из-за сертификата. BAD_FORMAT_BLA_BLA_BLA. Ну и я решил, что я сгенерю в собственном OpenSSL CA сертификаты и подложу их вместо тех, что есть. Ну я, например, на хосты ESXi таким методом подкладываю. В общем, оригинальные файлы я переименовал в certificate.crt.orig и certificate.key.orig. После чего положил свою пару серт/ключ вида hostname.domain.ru в папку /usr/local/vesta/ssl. Они туда плюхнулись, как на диван, без каких-либо вопросов. После того, как я ребутнул хост, веста не поднялась с ошибкой про vendor_preset:disabled. Я погуглил и понял, что надо делать ссылку на сертификаты уже существующего в системе домена. И причём везде речь идёт только о Let's Encrypt. Ок, подумал я, виноват, исправлюсь. Но оказалось, что я не могу вообще ничего сделать теперь. "Файловая система только для чтения" Это я вижу при попытке удалить мою пару или переименовать обратно оригинальную. Из под рута. В общем-то я ничего пока не настраивал и есть снэпшот до установки панели, могу откатиться. Но появилось несколько вопросов. Что я не так делаю и как удалить свою пару? Могу ли я использовать сертификаты, подписанные своим корпоративным OpenSSL CA (у меня всё по взрослому, корневой, промежуточный, цепочка доверия). До сего дня мои сертификаты кушают все браузеры, ESET NOD, Veeam, VMWare. Кушают и не чихают. А тут как дела обстоят?
P.S. в линуксе я первоклашка, но очень увлечённый этой учёбой )
P.P.S. помимо сертификатов, я вмешался ещё в настройки iptables, т.к. fail2ban заблочил мне 2 моих нужных порта. Ну я их вернул обратно. iptables взлетают без вопросов, но вдруг это и есть vendor preset
P.P.P.S. судя по ответам сервисов, дело не в ключах. Верно я мыслю?
вот что говорит Индеец на вопрос "как твои дела"
а вот nginx тоже сетует на то, что ей приходится много читать, а она хочет писАть
P.S. в линуксе я первоклашка, но очень увлечённый этой учёбой )
P.P.S. помимо сертификатов, я вмешался ещё в настройки iptables, т.к. fail2ban заблочил мне 2 моих нужных порта. Ну я их вернул обратно. iptables взлетают без вопросов, но вдруг это и есть vendor preset
P.P.P.S. судя по ответам сервисов, дело не в ключах. Верно я мыслю?
вот что говорит Индеец на вопрос "как твои дела"
Code: Select all
httpd -tCode: Select all
[Sun Oct 20 07:27:06.588056 2019] [so:warn] [pid 27034] AH01574: module ruid2_module is already loaded, skipping
AH00558: httpd: Could not reliably determine the server's fully qualified domain name, using 172.XX.X.X. Set the 'ServerName' directive globally to suppress this messageCode: Select all
окт 20 06:10:01 NTC-WEB-V nginx[1275]: nginx: [alert] could not open error log file: open() "/var/log/nginx/error.log" failed (30: Read-only file system)
окт 20 06:10:01 NTC-WEB-V systemd[1]: nginx.service: control process exited, code=exited status=1
окт 20 06:10:01 NTC-WEB-V nginx[1275]: 2019/10/20 06:10:01 [emerg] 1275#1275: open() "/var/log/nginx/error.log" failed (30: Read-only file system)
окт 20 06:10:01 NTC-WEB-V systemd[1]: Failed to start nginx - high performance web server.
окт 20 06:10:01 NTC-WEB-V systemd[1]: Unit nginx.service entered failed state.
окт 20 06:10:01 NTC-WEB-V systemd[1]: nginx.service failed.-
Alex Connor
- Support team
- Posts: 1047
- Joined: Fri Mar 21, 2014 7:49 am
- Contact:
- Os: CentOS 6x
- Web: apache + nginx
Re: Ключ и сертификат от собственного CA возможны?
а как вы ребутали систему?
Re: Ключ и сертификат от собственного CA возможны?
Если прописывать свои для VestaCP, почему в nginx пути к ним не прописать и не перезапустить сервис vesta?