Как решить проблему nginx, выдает старый SSL сертификат?

Question

[Oleg_Faleev]

Здравствуйте, покажите где копать ;) Имеем nginx, SSL сертификат Lets Encrypt.
Изначально сертификат выпустил, настроил nginx, все работало хорошо, подошло время продления сертификата, перевыпустил. К сертификату претензий нет, он работает.
Проблема в nginx почему-то упорно выдает старый сертификат, помогает только изменение порта на любой кроме listen 443 ssl, тогда nginx дает новый (рабочий) сертификат. В чем может быть проблема?
DNS имена в сертификате и в nginx server_name roga.ru www.roga.ru совпадают. Проверка сертификата из параметров nginx проверялась openssl x509 -text -in /etc/letsencrypt/live/roga.ru/cert.pem, соответствует пути в nginx.
nginx version: nginx/1.14.0

# Default website
	server {

		listen 80 default_server;
		#listen [::]:80 default;
		server_name roga.ru www.roga.ru;
		server_name_in_redirect off;
		#return 301 https://$server_name$request_uri;
		
		proxy_set_header	X-Real-IP        $remote_addr;
		proxy_set_header	X-Forwarded-For  $proxy_add_x_forwarded_for;
		proxy_set_header	Host $host:80;

		set $proxyserver	"http://127.0.0.1:8888";
		set $docroot		"/home/bitrix/www";

		index index.php;
		root /home/bitrix/www;

		# Redirect to ssl if need
		if (-f /home/bitrix/www/.htsecure) { rewrite ^(.*)$ http://$server_name$1 permanent; }

		# Include parameters common to all websites
		include bx/conf/bitrix.conf;

		# Include server monitoring locations
		include bx/server_monitor.conf;
	}

# Default SSL certificate enabled website
	server {
		listen 443 ssl;
		server_name roga.ru www.roga.ru;

		# Enable SSL connection
		include	bx/conf/ssl.conf;
		server_name_in_redirect	off;

		proxy_set_header	X-Real-IP	$remote_addr;
		proxy_set_header	X-Forwarded-For	$proxy_add_x_forwarded_for;
		proxy_set_header	Host		$host:443;
		proxy_set_header	HTTPS 		YES;

		set $proxyserver	"http://127.0.0.1:8888";
		set $docroot		"/home/bitrix/www";

		index index.php;
		root /home/bitrix/www;

		# Include parameters common to all websites
		include bx/conf/bitrix.conf;

		# Include server monitoring API's
		include bx/server_monitor.conf;

	}

bx/conf/ssl.conf
# If they come here using HTTP, bounce them to the correct scheme
# Nginx internal code used for the plain HTTP requests 
# that are sent to HTTPS port to distinguish it from 4XX in a log and an error page redirection.
	error_page 497 https://roga.ru$request_uri;

# Increase keepalive connection lifetime
	keepalive_timeout	70;
	keepalive_requests	150;

# SSL encryption parameters
	ssl			on;
	ssl_protocols TLSv1 TLSv1.1 TLSv1.2;
	ssl_ciphers 'ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:DHE-DSS-AES128-GCM-SHA256:kEDH+AESGCM:ECDHE-RSA-AES128-SHA256:ECDHE-ECDSA-AES128-SHA256:ECDHE-RSA-AES128-SHA:ECDHE-ECDSA-AES128-SHA:ECDHE-RSA-AES256-SHA384:ECDHE-ECDSA-AES256-SHA384:ECDHE-RSA-AES256-SHA:ECDHE-ECDSA-AES256-SHA:DHE-RSA-AES128-SHA256:DHE-RSA-AES128-SHA:DHE-DSS-AES128-SHA256:DHE-RSA-AES256-SHA256:DHE-DSS-AES256-SHA:DHE-RSA-AES256-SHA:AES128-GCM-SHA256:AES256-GCM-SHA384:AES128-SHA256:AES256-SHA256:AES128-SHA:AES256-SHA:AES:CAMELLIA:!aNULL:!eNULL:!EXPORT:!DES:!RC4:!MD5:!PSK:!aECDH:!EDH-DSS-DES-CBC3-SHA:!EDH-RSA-DES-CBC3-SHA:!KRB5-DES-CBC3-SHA';
	ssl_prefer_server_ciphers on;

	ssl_certificate		     /etc/letsencrypt/live/roga.ru/fullchain.pem;
	ssl_certificate_key	    /etc/letsencrypt/live/roga.ru/privkey.pem;
	ssl_trusted_certificate /etc/letsencrypt/live/roga.ru/chain.pem;
	ssl_dhparam		   /etc/ssl/certs/dhparam.pem;
# performance
	ssl_session_cache	shared:SSL:10m;
	ssl_session_timeout	10m;

Comments

[Oleg_Faleev]

каждый раз, при внесении изменений, nginx -t тоже Ок ;)

[Randewoo]

Oleg_Faleev, а надо -s reload

[Oleg_Faleev]

Randewoo, это я знаю, я имел ввиду, что тестирование конфигурации все ок. ошибок нет.

[Lynn «Кофеман»]

А вы уверены что запрос приходит сюда?

[Oleg_Faleev]

Алексей Тен, да, при изменении порта listen 443 ssl; например на 4433 все начинает работать с новым сертификатом

Answer 1

[Oleg_Faleev]

Проблема была на стороне хостинг провайдера timeweb, а точнее партнером DDoS-Guard, который обеспечивает защиту от DDOS атак. У них где-то кэшировался старый SSL сертификат.

Answer 2

[anikavoi]

ssl параметры включи ВНУТРЬ server

server {
listen 443;
server_name ......ru;
ssl on;
ssl_stapling on;
ssl_certificate /.....crtca;
ssl_certificate_key /.....key;
ssl_protocols TLSv1 TLSv1.1 TLSv1.2;
ssl_prefer_server_ciphers on;
ssl_ciphers kEECDH+AES128:kEECDH:kEDH:-3DES:kRSA+AES128:kEDH+3DES:DES-CBC3-SHA:!RC4:!aNULL:!eNULL:!MD5:!EXPORT:!LOW:!SEED:!CAMELLIA:!IDEA:!PSK:!SRP:!SSLv2;

.........

Comments

[Oleg_Faleev]

server {
listen 443 ssl;
server_name roga.ru www.roga.ru;

# Enable SSL connection
include bx/conf/ssl.conf; через include, но внутри секции server
server_name_in_redirect off;

[Oleg_Faleev]

Oleg_Faleev, Oleg_Faleev, просто эти параметры через отдельные файлы сделаны

Answer 3

[Виктор Таран]

Правильно ли я понимаю что у вас битрикс ?
У вас битрикс ВМ ?
Если да то какая по версии, в зависимости от этого будет ответ

Comments

[Oleg_Faleev]

Bitrix virtual appliance version 7.3.3

[Oleg_Faleev]

да ВМ

[Виктор Таран]

https://klondike-studio.ru/blog/bitrix-vm-ne-obnov...
завтра не забудь поставить вопрос решен ;)

[Oleg_Faleev]

Виктор Таран, я сертификаты перевыпустил новыей через /opt/letsencrypt/letsencrypt-auto renew
Они даже работаю на любом порту, кроме 443 server listen 443 ssl; или я совсем запутался? версия VMBitrix 7.3.3 проблема разве не в nginx?

[Виктор Таран]

Oleg_Faleev, хмм, да ладно Дима там все-таки всех пихнул и они приняли мои правки сразу в следующем релизе;) это радует. 7.3.2 не использовал certbot