Как установить новый сертификат?

Question

[rasulguseinov]

Сервер ubuntu 18, был установлен бесплатный сертификат от Let's Encrypt через cerboot. Сейчас купили новый доверенный сертификат вставляю в nginx
listen 443 ssl ;
ssl_certificate /etc/nginx/ssl/cert.crt;
ssl_certificate_key /etc/nginx/ssl/private.key;

Но nginx выдают постоянно старый Let's Encrypt сертификат. Сервер перезагружали полностью удалил старый сертификат но все равно новый сертификат не выдает nginx. Помогите пожалуйста может кто сталкивался?

Comments

[Valentin Barbolin]

Покажи вывод
sudo nginx -T | grep ssl_certificate

[Виктор Таран]

А конфиг nginx в студию не завезут ?
так сертификат вы купили или нужно чтоб его выдавал letsencrypt
Пройдите по папке /etc/nginx поиском найдите все упоминания старого сертификата. из воздуха он браться точно не может (если у вас не cloudflaer).

[rasulguseinov]

Andrey Barbolin, Проблему Решили. До нашего сервера стоит WAF система надо было туда тоже добавить сетрификат.

[rasulguseinov]

Виктор Таран, Проблему Решили. До нашего сервера стоит WAF система надо было туда тоже добавить сетрификат.

Answer 1

[AUser0]

Внимательно проверяйте конфиги (в том числе те, что include-тся), возможно где-то в них прописан другой путь к сертификатам. Можно просто поискать строку ssl_certificate в директории конфигов.

Comments

[rasulguseinov]

Вот настройки nginx

server {

listen 443 ssl http2;
ssl_certificate /etc/nginx/ssl/cert.crt;
ssl_certificate_key /etc/nginx/ssl/private.key;

root /var/www/domain/public_html;
index index.php;
server_name domain.ru;

error_log /var/log/nginx/bitrix_error.log;
access_log /var/log/nginx/bitrix_access.log;

client_max_body_size 900M;

if ($host != "domain.ru") {
return 301 $scheme://domain.ru$request_uri;
}

location / {
rewrite ^([^.\?]*[^/])$ $1/ permanent;
if (!-e $request_filename){
rewrite ^(.*)$ /bitrix/urlrewrite.php last;
}
}

location ~ \.php$ {
fastcgi_pass unix:/var/run/php/php7.4-fpm.sock;
fastcgi_index index.php;
fastcgi_param SCRIPT_FILENAME
$document_root$fastcgi_script_name;
include fastcgi_params;
}
}

server {

if ($host = www.domain.ru) {
return 301 https://$host$request_uri;
}

if ($host = domain.ru) {
return 301 https://$host$request_uri;
}

listen 80;
server_name domain.ru www.domain.ru;
return 404;

}

[AUser0]

Мда, нормальный конфиг. Тогда проверяйте, что domain.ru обрабатывается именно этим server{}, смотрите bitrix_access.log. Можете сделать запрос https://domain.ru/?abc=xyz, и ищите потом этот запрос в логах, строку abc=xyz.

[rasulguseinov]

AUser0, В логах появляется этот запрос. Уже 2 дня не могу разобраться почему старый сертификат выдает, и самое интересное старый сертификат я удалил его на сервере нет, и откуда nginx его берет фиг пойми.

[AUser0]

IMHO, остаётся единственный вариант - в файлах cert.crt/private.key лежит старый сертификат. Проверяйте командой openssl x509 -in cert.crt -text

[rasulguseinov]

Вроде правильный новый сертификат выводится. Дата начала и конца правильные.
Validity
Not Before: Nov 26 13:49:43 2022 GMT
Not After : Dec 28 13:49:42 2023 GMT

[AUser0]

А systemctl restart nginx делаете?