Почему не обновляется SSL?

Question

[evomed]

На сайте появилось сообщение о недействительном сертификате.
Сервер Ubuntu 18, Let's Encrypt.
Установил cerbot. Прошел установку по документации. Получил сообщение:

Successfully received certificate.
Certificate is saved at: /etc/letsencrypt/live/website.ru/fullchain.pem
Key is saved at: /etc/letsencrypt/live/website.ru/privkey.pem
This certificate expires on 2022-09-05.
These files will be updated when the certificate renews.
Certbot has set up a scheduled task to automatically renew this certificate in the background.

Очистил кэш браузера. Все равно выдает предупреждение о недействительном сертификате (пишет R3, заканчивается 07.06.2022). Возможно нужно удалить старый сертификат или где-то в настройках прописать новый?

Апдейт.
До этого сервером управляло/настраивало веб приложение по настройке сервера. В т.ч. установкой/обновлением сертификатов Let's Encrypt. Оно создало папку пользователя в home/vladimir где были 2 папки
letsencrypt
letsencrypt-renew

в последней файлы


Насколько я понял cerbot устанавливает в /etc/letsencrypt/live/website.ru
И наверное, где-то в конфигах прописано, что сертификат находится в папке юзера и поэтому в браузере отображается старый. Только как это изменить не понимаю. Где это может быть прописано?

Апдейт 2.
Нашел по пути
/etc/nginx/vladimir-conf/website.ru/server/letsencrypt_challenge.conf

location /.well-known/acme-challenge {
auth_basic off;
allow all;
alias /home/vladimir/.letsencrypt;
}

Нашел конфиг с кодом.

# Redirect every request to HTTPS...
server {
    listen 80;
    listen [::]:80;

    server_name .webstite.ru;
    return 301 https://$host$request_uri;
}


# Redirect SSL to primary domain SSL...
server {
        listen 443 ssl http2;
    listen [::]:443 ssl http2;

    # FORGE SSL (DO NOT REMOVE!)
    ssl_certificate /etc/nginx/ssl/website.ru/807241/server.crt;
    ssl_certificate_key /etc/nginx/ssl/website.ru/807241/server.key;
   ssl_protocols TLSv1.2;
    ssl_ciphers TLS13-AES-256-GCM-SHA384:TLS13-CHACHA20-POLY1305-SHA256:TLS_AES_256_GCM_SHA384:TLS-AES-256-$
    ssl_prefer_server_ciphers on;
    ssl_dhparam /etc/nginx/dhparams.pem;

    server_name www.website.ru;
    return 301 https://website.ru$request_uri;

Answer 1

[Vitaly Karasik]

Нужно найти конфиг сайта (сайтов) в Nginx и убедиться что используется серт из /etc/letsencrypt.

Comments

[evomed]

Нашел по пути
/etc/nginx/vladimir-conf/website.ru/server/letsencrypt_challenge.conf

location /.well-known/acme-challenge {
auth_basic off;
allow all;
alias /home/vladimir/.letsencrypt;
}

Как можно указать правильный путь? Или просто файл с этой настройкой удалить?

[Vitaly Karasik]

evomed, это не главное, надо найти где у вас HTTPS конфиг для вашего сайта, и посмотреть на строчки с SSL......

[evomed]

Vitaly Karasik, по пути /etc/nginx/vladimir-conf/website.ru/before/

Нашел конфиг с кодом.

# Redirect every request to HTTPS...
server {
    listen 80;
    listen [::]:80;

    server_name .webstite.ru;
    return 301 https://$host$request_uri;
}


# Redirect SSL to primary domain SSL...
server {
        listen 443 ssl http2;
    listen [::]:443 ssl http2;

    # FORGE SSL (DO NOT REMOVE!)
    ssl_certificate /etc/nginx/ssl/website.ru/807241/server.crt;
    ssl_certificate_key /etc/nginx/ssl/website.ru/807241/server.key;

   ssl_protocols TLSv1.2;
    ssl_ciphers TLS13-AES-256-GCM-SHA384:TLS13-CHACHA20-POLY1305-SHA256:TLS_AES_256_GCM_SHA384:TLS-AES-256-$
    ssl_prefer_server_ciphers on;
    ssl_dhparam /etc/nginx/dhparams.pem;

    server_name www.website.ru;
    return 301 https://website.ru$request_uri;

Не оно?

[Vitaly Karasik]

evomed,

ssl_certificate /etc/nginx/ssl/website.ru/807241/server.crt;
ssl_certificate_key /etc/nginx/ssl/website.ru/807241/server.key;

оно!
Сохраните текущую версию, и замените на
ssl_certificate /etc/letsencrypt/live/website.ru/fullchain.pem
ssl_certificate_key /etc/letsencrypt/live/website.ru/privkey.pem

[evomed]

Vitaly Karasik, не работает, при тесте nginx пишет
invalid number of arguments in "ssl_certificate" directive in /etc/nginx/vladimir-conf/website.ru/before/ssl_redirect.conf:20

[evomed]

Vitaly Karasik, забыл добавить точки с запятой. Сделал, рестартовал nginx, ошибок нет. Но сертификат старый. Сбросил кеш браузера, пофиг. Что еще можно попробовать?

[evomed]

Vitaly Karasik, получилось. Нашел еще один конфиг, который был виден только под рутом

Answer 2

[Анатолий]

ищи и меняй в конфигах NGINX

ssl_certificate /etc/letsencrypt/live/website.ru/fullchain.pem
ssl_certificate_key /etc/letsencrypt/live/website.ru/privkey.pem

Comments

[evomed]

Заменил в файле /etc/nginx/vladimir-conf/website.ru/before/ssl_redirect.conf

в коде

# Redirect every request to HTTPS...
server {
    listen 80;
    listen [::]:80;

    server_name .webstite.ru;
    return 301 https://$host$request_uri;
}


# Redirect SSL to primary domain SSL...
server {
        listen 443 ssl http2;
    listen [::]:443 ssl http2;

    # FORGE SSL (DO NOT REMOVE!)
    ssl_certificate /etc/nginx/ssl/website.ru/807241/server.crt;
    ssl_certificate_key /etc/nginx/ssl/website.ru/807241/server.key;
   ssl_protocols TLSv1.2;
    ssl_ciphers TLS13-AES-256-GCM-SHA384:TLS13-CHACHA20-POLY1305-SHA256:TLS_AES_256_GCM_SHA384:TLS-AES-256-$
    ssl_prefer_server_ciphers on;
    ssl_dhparam /etc/nginx/dhparams.pem;

    server_name www.website.ru;
    return 301 https://website.ru$request_uri;

получил ошибку

invalid number of arguments in "ssl_certificate" directive in /etc/nginx/vladimir-conf/website.ru/before/ssl_redirect.conf:20

Сайт перестал открываться. Вернул обратно.

[evomed]

проверил что у пользователя нет прав на просмотр папки /etc/letsencrypt/live/ может в этом проблема?

[Drno]

evomed, либо скопируйте сертификаты где они там были
либо выдайте права)

[evomed]

Drno, не силен в администрировании, пробую разобраться. Там у пользователя (от которого работает сайт) есть доступ только к его папке. Думаю, может можно сертификаты через cerbot установить в папку пользователя и уже эти пути использовать в конфиге.

[evomed]

Drno, не получается доступ юзеру к папке дать. Какой командой можно дать доступ юзеру к сертификату?

[Drno]

evomed, тогда да. закидывай серт прямо в папку пользователя

[evomed]

Drno, если руками копировать придется для каждого сайта через каждые 3 мес копировать и не пропустить срок. Я для этого установил cerbot, но он у меня папку не спрашивал и установил туда где у моего юзера нет доступа

[evomed]

Drno, заменил в файле /etc/nginx/vladimir-conf/website.ru/before/ssl_redirect.conf
на
ssl_certificate /etc/letsencrypt/live/website.ru/fullchain.pem
ssl_certificate_key /etc/letsencrypt/live/website.ru/privkey.pem
добавил точки с запятой, ошибки пропали. Но сертификат все равно старый.

[Drno]

evomed, для этого поставь команду копирования готового сертификата потом в папку юзера и запихни её в кронтаб

[Drno]

evomed, я не думаю что он увидит сертификат, у юзера нет доступа к этой папке

[evomed]

Drno, я добавил права юзеру через sudo chown vladimir /etc/letsencrypt/live
не знаю что там добавилось, но юзер в папку теперь может заходить
и я же из конфига удалил старый сертификат - пути заменил к новому

[evomed]

Drno, а старый серт все равно видит. Может в браузере сохранилось гдето или должно время пройти? Или еще может какие конфиги есть?

[evomed]

Drno, сбросил кеш, отключил антивирус, не работает. Пишет R3 истек 07,06,2022

[Drno]

evomed, для этого проще в инкогнито страницу открывать)

[evomed]

Drno, получилось. Нашел еще один конфиг, который был виден только под рутом

[evomed]

Drno, касперский в инкогнито все равно вмешивается

[Drno]

evomed, ндя... яснееько

[Drno]

evomed, касперский это вирус... фактически...
Зачем он тебе на пк)

[evomed]

Drno, работает и ладно))

Answer 3

[Alexey Dmitriev]

Нужно перезагрузить веб сервер - apache\httpd или nginx

Comments

[evomed]

Сделал sudo systemctl restart nginx. Не помогло.

[evomed]

Дополнил вопрос.