PDF
Download PDF
Download page Закончился срок действия сертификата на веб-сервер.
Закончился срок действия сертификата на веб-сервер
Статья является возможным решением инцидента FreeIPA. Проблемы в работе сервисов
Окружение
Astra Linux Special Edition 1.6
Диагностика
Проверить лог-файлы на наличие сообщений вида:
May 29 09:39:51 astra apachectl[1712]: Action 'start' failed. May 29 09:39:51 astra apachectl[1712]: The Apache error log may have more information. May 29 09:39:51 astra systemd[1]: apache2.service: Control process exited, code=exited status=1 May 29 09:39:51 astra systemd[1]: Failed to start The Apache HTTP Server. May 29 09:39:51 astra systemd[1]: apache2.service: Unit entered failed state. May 29 09:39:51 astra systemd[1]: apache2.service: Failed with result 'exit-code'. May 29 09:39:51 astra systemd[1]: Stopping Kerberos 5 Key Distribution Center... May 29 09:39:51 astra systemd[1]: Stopped Kerberos 5 Key Distribution Center. May 29 09:39:51 astra systemd[1]: Stopping Kerberos 5 Admin Server... May 29 09:39:51 astra systemd[1]: krb5-admin-server.service: Main process exited, code=exited, status=2/INVALIDARGUMENT May 29 09:39:51 astra systemd[1]: Stopped Kerberos 5 Admin Server. May 29 09:39:51 astra systemd[1]: krb5-admin-server.service: Unit entered failed state. May 29 09:39:51 astra systemd[1]: krb5-admin-server.service: Failed with result 'exit-code'. May 29 09:39:52 astra systemd[1]: Stopping BIND Domain Name Server with native PKCS#11...
CODE[Wed May 29 10:22:09.166202 2019] [:warn] [pid 1631] NSSSessionCacheTimeout is deprecated. Ignoring. [Wed May 29 10:22:09.251851 2019] [:error] [pid 1631] SSL Library Error: -8181 Certificate has expired [Wed May 29 10:22:09.251901 2019] [:error] [pid 1631] Unable to verify certificate 'astra.noname.rf'. Add "NSSEnforceValidCerts off" to nss.conf so the server can start until the problem can be resolved.
CODEПроблема начинается с того, что сервисapache2
не запускается, после этого останавливаются другие сервисы FreeIPA —dirsrv
,kerberos
,bind9-pkcs11
.
Библиотека SSL возвращает ошибку о том, что срок действия сертификата истек:
# certutil -d /etc/apache2/nssdb/ -L Certificate Nickname Trust Attributes SSL,S/MIME,JAR/XPI CA Signing Certificate C,, ipa-upd2.gtfo.rbt u,u,u root@ipa-upd2:/home/admin# certutil -d /etc/apache2/nssdb/ -L -n ipa-upd2.gtfo.rbt Certificate: Data: Version: 1 (0x0) Serial Number: 00:93:44:78:ae:18:ed:93:68 Signature Algorithm: PKCS #1 SHA-256 With RSA Encryption Issuer: "CN=CA Signing Certificate" Validity: Not Before: Mon Jun 03 12:12:40 2019 Not After : Wed Jul 03 12:12:40 2019 Subject: "CN=ipa-upd2.gtfo.rbt"
CODEОшибка возникает в том случае, если системное время выходит за указанные в сертификате рамки (в примере — 18 строка).
Решение
Ответ доступен с подключенной услугой «Техническая поддержка».
Внимание! Для авторизации используйте учетные данные Личного кабинета
Если учетная запись от новой версии личного кабинета отсутствует, просим писать на почту lk@astralinux.ru
Проверить лог-файлы на наличие сообщений вида:
May 29 09:39:51 astra apachectl[1712]: Action 'start' failed. May 29 09:39:51 astra apachectl[1712]: The Apache error log may have more information. May 29 09:39:51 astra systemd[1]: apache2.service: Control process exited, code=exited status=1 May 29 09:39:51 astra systemd[1]: Failed to start The Apache HTTP Server. May 29 09:39:51 astra systemd[1]: apache2.service: Unit entered failed state. May 29 09:39:51 astra systemd[1]: apache2.service: Failed with result 'exit-code'. May 29 09:39:51 astra systemd[1]: Stopping Kerberos 5 Key Distribution Center... May 29 09:39:51 astra systemd[1]: Stopped Kerberos 5 Key Distribution Center. May 29 09:39:51 astra systemd[1]: Stopping Kerberos 5 Admin Server... May 29 09:39:51 astra systemd[1]: krb5-admin-server.service: Main process exited, code=exited, status=2/INVALIDARGUMENT May 29 09:39:51 astra systemd[1]: Stopped Kerberos 5 Admin Server. May 29 09:39:51 astra systemd[1]: krb5-admin-server.service: Unit entered failed state. May 29 09:39:51 astra systemd[1]: krb5-admin-server.service: Failed with result 'exit-code'. May 29 09:39:52 astra systemd[1]: Stopping BIND Domain Name Server with native PKCS#11...
[Wed May 29 10:22:09.166202 2019] [:warn] [pid 1631] NSSSessionCacheTimeout is deprecated. Ignoring. [Wed May 29 10:22:09.251851 2019] [:error] [pid 1631] SSL Library Error: -8181 Certificate has expired [Wed May 29 10:22:09.251901 2019] [:error] [pid 1631] Unable to verify certificate 'astra.noname.rf'. Add "NSSEnforceValidCerts off" to nss.conf so the server can start until the problem can be resolved.
Проблема начинается с того, что сервисapache2
не запускается, после этого останавливаются другие сервисы FreeIPA —dirsrv
,kerberos
,bind9-pkcs11
.
Библиотека SSL возвращает ошибку о том, что срок действия сертификата истек:
Развернуть исходный код# certutil -d /etc/apache2/nssdb/ -L Certificate Nickname Trust Attributes SSL,S/MIME,JAR/XPI CA Signing Certificate C,, ipa-upd2.gtfo.rbt u,u,u root@ipa-upd2:/home/admin# certutil -d /etc/apache2/nssdb/ -L -n ipa-upd2.gtfo.rbt Certificate: Data: Version: 1 (0x0) Serial Number: 00:93:44:78:ae:18:ed:93:68 Signature Algorithm: PKCS #1 SHA-256 With RSA Encryption Issuer: "CN=CA Signing Certificate" Validity: Not Before: Mon Jun 03 12:12:40 2019 Not After : Wed Jul 03 12:12:40 2019 Subject: "CN=ipa-upd2.gtfo.rbt"
Ошибка возникает в том случае, если системное время выходит за указанные в сертификате рамки (в примере — 18 строка).
Возможная причина: Закончился срок действия сертификата на веб-сервер. Перейти к решению.