Не работает ssl сертификат на проксируемом приложении

@Baktery · Регистрация: 26.04.2020

Студворк — интернет-сервис помощи студентам

Добрый день

На сервере запускается приложение Ruby которое проксируется, работающее на порту 4443 используя Nginx.
Проблема в том, что приложение перестало работать когда просрочились сертификаты ssl. Используется Lets Encrypt, я их перевыпустил, заменил, веб Nginx заработал а приложение нет.
Подскажите что это может быть и как исправить?

@Alli_Lupin · 10.11.2022, 14:39

Baktery, в приложении сертификат тоже заменили?
Подобную ошибку я отлавливал варешарком. Слушал трафик. Пусть и шифрованный, ошибки соединения не шифрованные обычно.

@Baktery · 10.11.2022, 15:07 **[ТС]**

Я по сути кладу сертификаты в то же место где были старые, с таким же названием. Разве этого не достаточно? Пути не менялись, все должно ссылаться на них. Или я не так понял?

@Alli_Lupin · 10.11.2022, 15:13

Baktery, а корневые сертификаты одинаковые?

@Baktery · 10.11.2022, 15:30 **[ТС]**

можно поподробнее? вы имеете ввиду те что в /etc/ssl/certs (у меня Ubuntu), там они тоже должны присутствовать? Те что Lets Encrypt

@Alli_Lupin · 10.11.2022, 15:32

Baktery, блин, это сильно глубоко нырять в процесс надо)) первый вопрос вот в чём: у вас у всех сертификатов один и тот же корневой сертификат?

@Baktery · 10.11.2022, 15:44 **[ТС]**

Просроченный, выдавался другом сервисом. Новый уже делались с помощью Lets Encrypt
Похоже что разные

Добавлено через 4 минуты
А можно от обратного, отвязать работу приложения от прокси? такой вариант тоже устроил бы, как бы это сделать..

@Alli_Lupin · 10.11.2022, 15:46

Baktery, настройте фаервол, чтобы приложение смотрело на улицу. Попробуйте подключиться. Только порты правильные укажите.

@Baktery · 10.11.2022, 16:13 **[ТС]**

Вот этой строкой стартую приложение, может натолкнет на мысль.. где можно прописать сертификат

/bin/su - user -c 'cd /home/dir/soft/current && RAILS_ENV=image /home/dir/.rvm/bin/rvm default do bundle exec thin -C config/conf_thin.yml start'

@Alli_Lupin · 10.11.2022, 16:16

Baktery, слишком мало данных. Ещё раз говорю, послушайте варешарком что там кому говорят? может проблема совсем не в том, что я тут уже пятое сообщение пишу.

@Baktery · 10.11.2022, 16:40 **[ТС]**

Вот такой результат Варешарка. 4443- порт прокси

Code
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
1 0.252097418 Внешний.ip → Локальный.ip TCP 62 22030 → 4443 [ACK] Seq=1 Ack=1 Win=510 Len=1
    2 0.252115469 Локальный.ip → Внешний.ip TCP 68 4443 → 22030 [ACK] Seq=1 Ack=2 Win=270 Len=0 SLE=1 SRE=2CK] Seq=2 Ack=1 Win=510 Len=31
    3 3.467579565 Локальный.ip → Внешний.ip TCP 56 4443 → 22030 [ACK] Seq=1 Ack=33 Win=270 Len=0
    4 3.467619978 Внешний.ip → Локальный.ip TCP 62 22030 → 4443 [FIN, ACK] Seq=33 Ack=1 Win=510 Len=0
    5 3.467749987 Локальный.ip → Внешний.ip TLSv1.2 89 Application Data
    6 3.467895913 Локальный.ip → Внешний.ip TCP 56 4443 → 21556 [FIN, ACK] Seq=34 Ack=38 Win=269 Len=0
    7 3.468013122 Локальный.ip → Внешний.ip TCP 56 4443 → 22030 [FIN, ACK] Seq=1 Ack=34 Win=270 Len=0
   8 3.476444080 Внешний.ip → Локальный.ip TCP 68 22076 → 443 [SYN] Seq=0 Win=64240 Len=0 MSS=1410 WS=256 SACK_PERM=1
   9 3.476464997 Локальный.ip → Внешний.ip TCP 68 443 → 22076 [SYN, ACK] Seq=0 Ack=1 Win=29200 Len=0 MSS=1460 SACK_PERM=1 WS=128
   10 3.501104597 Внешний.ip → Локальный.ip TCP 62 21556 → 4443 [ACK] Seq=38 Ack=35 Win=507 Len=0
   11 3.501124355 Внешний.ip → Локальный.ip TLSv1.2 87 Encrypted Alert
   12 3.501134361 Локальный.ip → Внешний.ip TCP 56 4443 → 21556 [RST] Seq=35 Win=0 Len=0
   14 3.501152627 Внешний.ip → Локальный.ip TCP 62 21556 → 4443 [FIN, ACK] Seq=69 Ack=35 Win=507 Len=0
   15 3.501156083 Локальный.ip → Внешний.ip TCP 56 4443 → 21556 [RST] Seq=35 Win=0 Len=0
   16 3.501237113 Внешний.ip → Локальный.ip TCP 62 22030 → 4443 [ACK] Seq=34 Ack=2 Win=510 Len=0
   17 3.509315915 Внешний.ip → Локальный.ip TCP 62 22076 → 443 [ACK] Seq=1 Ack=1 Win=131072 Len=0
   18 3.519205664 Внешний.ip → Локальный.ip TLSv1 573 Client Hello
   19 3.519236348 Локальный.ip → Внешний.ip TCP 56 443 → 22076 [ACK] Seq=1 Ack=518 Win=30336 Len=0
   20 3.522192465 Внешний.ip → Локальный.ip TCP 68 22077 → 4443 [SYN] Seq=0 Win=64240 Len=0 MSS=1410 WS=256 SACK_PERM=1
   21 3.522224906 Локальный.ip → Внешний.ip TCP 68 4443 → 22077 [SYN, ACK] Seq=0 Ack=1 Win=29200 Len=0 MSS=1460 SACK_PERM=1 WS=128
   22 3.522988282 Внешний.ip → Локальный.ip TCP 68 22078 → 4443 [SYN] Seq=0 Win=64240 Len=0 MSS=1410 WS=256 SACK_PERM=1
   23 3.522992537 Локальный.ip → Внешний.ip TCP 68 4443 → 22078 [SYN, ACK] Seq=0 Ack=1 Win=29200 Len=0 MSS=1460 SACK_PERM=1 WS=128
   24 3.525511251 Локальный.ip → 8.8.8.8      DNS 76 Standard query 0xfc34 A r3.o.lencr.org
   25 3.525548662 Локальный.ip → 8.8.8.8      DNS 76 Standard query 0xc80d AAAA r3.o.lencr.org
   26 3.527933547 Локальный.ip → Внешний.ip TLSv1.2 2876 Server Hello
   27 3.527944107 Локальный.ip → Внешний.ip TLSv1.2 1703 Certificate, Server Key Exchange, Server Hello Done
   28 3.532788191      8.8.8.8 → Локальный.ip DNS 287 Standard query response 0xfc34 A r3.o.lencr.org CNAME o.lencr.edgesuite.net CNAME a1887.dscq.akamai.net A Адрес.ip A 114.27.90.50 A 184.24.90.51 A 184.24.90.89 A 184.24.90.79 A 184.24.90.77 A 184.24.90.49 A 184.24.90.54 A 114.27.90.50
   29 3.534900489      8.8.8.8 → Локальный.ip DNS 199 Standard query response 0xc80d AAAA r3.o.lencr.org CNAME o.lencr.edgesuite.net CNAME a1887.dscq.akamai.net AAAA 2a02:26f0:f500:5::5c7b:85ca AAAA 2a02:26f0:f500:5::5c7b:85c8
   30 3.534955352 Локальный.ip → Адрес.ip TCP 76 60170 → 80 [SYN] Seq=0 Win=29200 Len=0 MSS=1460 SACK_PERM=1 TSval=324684 TSecr=0 WS=128
   31 3.539971227 Адрес.ip → Локальный.ip TCP 76 80 → 60170 [SYN, ACK] Seq=0 Ack=1 Win=65160 Len=0 MSS=1460 SACK_PERM=1 TSval=320295539 TSecr=324684 WS=128
   32 3.539987650 Локальный.ip → Адрес.ip TCP 68 60170 → 80 [ACK] Seq=1 Ack=1 Win=29312 Len=0 TSval=324685 TSecr=320295539
   33 3.540014187 Локальный.ip → Адрес.ip HTTP 234 GET /MFMwUTBPME0wSzAJBgUrDgMCGgUABBRI2smg%2ByvTLU%2Fw3mjS9We3NfmzxAQUFC6zF7dYVsuuUAlA5h%2BvnYsUwsYCEgMim4anjJ2OCgXv6PGCY5cBtg%3D%3D HTTP/1.0 
   34 3.545094945 Адрес.ip → Локальный.ip TCP 68 80 → 60170 [ACK] Seq=1 Ack=167 Win=65024 Len=0 TSval=320295544 TSecr=324685
   35 3.552478866 Адрес.ip → Локальный.ip OCSP 952 Response
   36 3.555415217 Внешний.ip → Локальный.ip TCP 62 22077 → 4443 [ACK] Seq=1 Ack=1 Win=131072 Len=0
   37 3.555578640 Внешний.ip → Локальный.ip TCP 62 22078 → 4443 [ACK] Seq=1 Ack=1 Win=131072 Len=0

@Alli_Lupin · 10.11.2022, 16:47

Baktery, да, проблема с сертификатами. Вон, в 11-й строке сообщение. Вот просто выделяете начиная с TLS и идёте читать.

Чтоб вы понимали, я из Ruby знаю только название языка. Так что правильную работу по сертификатам через прокси я вам описать не смогу. Но проблема именно в самих сертификатах. Либо где-то надо добавить всю цепочку сертификатов, либо где-то надо таки подкинуть новый сертификат и пусть использует.

@Baktery · 10.11.2022, 19:37 **[ТС]**

Тут пишут что это нормально

https://support.f5.com/csp/article/K95610370

Новые блоги и статьи Все статьи Все блоги /
Загрузка PNG-файла с альфа-каналом с помощью библиотеки SDL3_image на Android 8Observer8 27.01.2026 Содержание блога SDL3_image - это библиотека для загрузки и работы с изображениями. Эта пошаговая инструкция покажет, как загрузить и вывести на экран смартфона картинку с альфа-каналом, то есть с. . .	влияние грибов на сукцессию anaschu 26.01.2026 Бифуркационные изменения массы гриба происходят тогда, когда мы уменьшаем массу компоста в 10 раз, а скорость прироста биомассы уменьшаем в три раза. Скорость прироста биомассы может уменьшаться за. . .	Воспроизведение звукового файла с помощью SDL3_mixer при касании экрана Android 8Observer8 26.01.2026 Содержание блога SDL3_mixer - это библиотека я для воспроизведения аудио. В отличие от инструкции по добавлению текста код по проигрыванию звука уже содержится в шаблоне примера. Нужно только. . .	Установка Android SDK, NDK, JDK, CMake и т.д. 8Observer8 25.01.2026 Содержание блога Перейдите по ссылке: https:/ / developer. android. com/ studio и в самом низу страницы кликните по архиву "commandlinetools-win-xxxxxx_latest. zip" Извлеките архив и вы увидите. . .
Вывод текста со шрифтом TTF на Android с помощью библиотеки SDL3_ttf 8Observer8 25.01.2026 Содержание блога Если у вас не установлены Android SDK, NDK, JDK, и т. д. то сделайте это по следующей инструкции: Установка Android SDK, NDK, JDK, CMake и т. д. Сборка примера Скачайте. . .	Использование SDL3-callbacks вместо функции main() на Android, Desktop и WebAssembly 8Observer8 24.01.2026 Содержание блога Если вы откроете примеры для начинающих на официальном репозитории SDL3 в папке: examples, то вы увидите, что все примеры используют следующие четыре обязательные функции, а. . .	моя боль iceja 24.01.2026 Выложила интерполяцию кубическими сплайнами www. iceja. net REST сервисы временно не работают, только через Web. Написала за 56 рабочих часов этот сайт с нуля. При помощи perplexity. ai PRO , при. . .	Модель сукцессии микоризы anaschu 24.01.2026 Решили писать научную статью с неким РОманом

@Baktery 0 / 0 / 1 Регистрация: 26.04.2020 Сообщений: 173

	Не работает ssl сертификат на проксируемом приложении 10.11.2022, 12:44. Показов 1143. Ответов 12 Метки нет (Все метки) Добрый день На сервере запускается приложение Ruby которое проксируется, работающее на порту 4443 используя Nginx. Проблема в том, что приложение перестало работать когда просрочились сертификаты ssl. Используется Lets Encrypt, я их перевыпустил, заменил, веб Nginx заработал а приложение нет. Подскажите что это может быть и как исправить? 0

@Alli_Lupin 5037 / 1064 / 149 Регистрация: 29.01.2013 Сообщений: 6,213
	10.11.2022, 14:39
	Baktery, в приложении сертификат тоже заменили? Подобную ошибку я отлавливал варешарком. Слушал трафик. Пусть и шифрованный, ошибки соединения не шифрованные обычно. 0

@Baktery 0 / 0 / 1 Регистрация: 26.04.2020 Сообщений: 173
	10.11.2022, 15:07 [ТС]
	Я по сути кладу сертификаты в то же место где были старые, с таким же названием. Разве этого не достаточно? Пути не менялись, все должно ссылаться на них. Или я не так понял? 0

@Alli_Lupin 5037 / 1064 / 149 Регистрация: 29.01.2013 Сообщений: 6,213
	10.11.2022, 15:13
	Baktery, а корневые сертификаты одинаковые? 0

@Baktery 0 / 0 / 1 Регистрация: 26.04.2020 Сообщений: 173
	10.11.2022, 15:30 [ТС]
	можно поподробнее? вы имеете ввиду те что в /etc/ssl/certs (у меня Ubuntu), там они тоже должны присутствовать? Те что Lets Encrypt 0

@Alli_Lupin 5037 / 1064 / 149 Регистрация: 29.01.2013 Сообщений: 6,213
	10.11.2022, 15:32
	Baktery, блин, это сильно глубоко нырять в процесс надо)) первый вопрос вот в чём: у вас у всех сертификатов один и тот же корневой сертификат? 0

@Baktery 0 / 0 / 1 Регистрация: 26.04.2020 Сообщений: 173
	10.11.2022, 15:44 [ТС]
	Просроченный, выдавался другом сервисом. Новый уже делались с помощью Lets Encrypt Похоже что разные Добавлено через 4 минуты А можно от обратного, отвязать работу приложения от прокси? такой вариант тоже устроил бы, как бы это сделать.. 0

@Alli_Lupin 5037 / 1064 / 149 Регистрация: 29.01.2013 Сообщений: 6,213
	10.11.2022, 15:46
	Baktery, настройте фаервол, чтобы приложение смотрело на улицу. Попробуйте подключиться. Только порты правильные укажите. 0

@Baktery 0 / 0 / 1 Регистрация: 26.04.2020 Сообщений: 173
	10.11.2022, 16:13 [ТС]
	Вот этой строкой стартую приложение, может натолкнет на мысль.. где можно прописать сертификат /bin/su - user -c 'cd /home/dir/soft/current && RAILS_ENV=image /home/dir/.rvm/bin/rvm default do bundle exec thin -C config/conf_thin.yml start' 0

@Alli_Lupin 5037 / 1064 / 149 Регистрация: 29.01.2013 Сообщений: 6,213
	10.11.2022, 16:16
	Baktery, слишком мало данных. Ещё раз говорю, послушайте варешарком что там кому говорят? может проблема совсем не в том, что я тут уже пятое сообщение пишу. 0

@Alli_Lupin 5037 / 1064 / 149 Регистрация: 29.01.2013 Сообщений: 6,213
	10.11.2022, 16:47
	Baktery, да, проблема с сертификатами. Вон, в 11-й строке сообщение. Вот просто выделяете начиная с TLS и идёте читать. Чтоб вы понимали, я из Ruby знаю только название языка. Так что правильную работу по сертификатам через прокси я вам описать не смогу. Но проблема именно в самих сертификатах. Либо где-то надо добавить всю цепочку сертификатов, либо где-то надо таки подкинуть новый сертификат и пусть использует. 0

@Baktery 0 / 0 / 1 Регистрация: 26.04.2020 Сообщений: 173
	10.11.2022, 19:37 [ТС]
	Тут пишут что это нормально https://support.f5.com/csp/article/K95610370 0