Спасибо большое, Максим. Стало понятно, куда копать, сейчас результаты тестов оправдывают ожидания.by Maximus43 - Nginx Mailing List - Russian
> > Результаты тестов http и https отличаются на два порядка.Куда > копать? > > Заранее спасибо! > > А чем тестируете и как? Тестирую стандартно, с помощью Apache Benchmark (ab)by Maximus43 - Nginx Mailing List - Russian
Здравствуйте! Операционная система FreeBSD 10.2-RELEASE. Версия - nginx/1.9.12 Проблема в следующем: при тестировании http нагрузка распределяется по workers равномерно, производительность высокая. При тестировании https нагрузка идетby Maximus43 - Nginx Mailing List - Russian
Да, похоже на указанный баг. nginx version: nginx/1.6.2 В продакшене только стабильные версии. Вот локейшен location ~ '^/(?<lang_code>[\D-]{2})/(?<rest_uri>.*)' { # Redirect to Russian for some CIS countries if ($lang_code ~* (uk|be|kk)) {by Maximus43 - Nginx Mailing List - Russian
Насколько я помню, раньше все работало, а сейчас наткнулся на проблему, которую сходу решить не смог. Имеется location ~ '^/(?<lang_code>[\D-]{2})/(?<rest_uri>.*)' В конце прописан алиас: alias /var/www/infoss/$lang_code/vpnbox/$rest_uri; Цель, чтобы запby Maximus43 - Nginx Mailing List - Russian
Максим, большое спасибо за ответ и за патч! Насчет проблем безопасности. Может ввести параметр типа trust_only_last_CA_in_chain? При активации этого параметра nginx будет считать валидной только ту цепочку, которая строится с участиby Maximus43 - Nginx Mailing List - Russian
Я все-таки повторюсь со своей проблемой. Пытался внимательно понять, как и что работает, пришел к следующим выводам: 1. Директива ssl_client_certificate определяет список доступных CA для клиента, сертификаты этих CA сервер готов рby Maximus43 - Nginx Mailing List - Russian
1) Нет, так не получится. Надо или пробрасывать порты сразу на Апач, или ставить балансир типа BigIP. Можно терминировать SSL трафик на фронтенде и потом по SSL (но это уже другая сессия) передавать на бэкенд. Да, в proxy_pass можно пиby Maximus43 - Nginx Mailing List - Russian
Хотелось бы решить данную проблему средствами nginx.by Maximus43 - Nginx Mailing List - Russian
С добавлением слеша в конец ссылки (если нет расширения) и редиректом тут разобрались (http://forum.nginx.org/read.php?21,215281,215281#msg-215281), спасибо большое! У меня возникла задачка "почистить" неверные ссылки на сайт. Смотрю лог ошибby Maximus43 - Nginx Mailing List - Russian
Очень похоже на проблему с резолвингом DNS имен. Сначала какой-то компонент системы пробует найти DNS имя, потом резолвинг отваливается по таймауту и дальше все идет по IP. База данных есть?by Maximus43 - Nginx Mailing List - Russian
http://nginx.org/ru/docs/http/ngx_http_core_module.html#internalby Maximus43 - Nginx Mailing List - Russian
Расширение CDP для коневого сертификата смысла не имеет. Уберите его оттуда. CDP должно присутствовать во всех сертификатах промежуточных ЦС и в клиентских сертификатах. Так же рекомендую прописать расширение AIA caIssuer длby Maximus43 - Nginx Mailing List - Russian
Простите, а какой смысл от CRL со сроком действия 10 лет? :-) У меня в CRL есть еще пара расширенных полей: --- CRL extensions: X509v3 Authority Key Identifier: keyid:AC:C2:B7:C5:1B:3F:80:E9:00:0F:8B:0A:FA:33:85:D3:45:8E:17:5E X509v3 CRL Number: 16by Maximus43 - Nginx Mailing List - Russian
Сразу вопрос: зачем грузить клиентские сертификаты на сервер? Они же клиентские и должны импортироваться в браузер к клиенам. Ну и потом уже запрашиваться сервером для проверки.by Maximus43 - Nginx Mailing List - Russian
А что именно не работает? Опять выскакивает 403-я ошибка? Что пишется в /var/log/nginx/error.log по этому поводу?by Maximus43 - Php-fpm Mailing List - Russian
У вас же написано: location / { proxy_pass http://10.0.0.10; index index.html index.htm; } Вот фронтенд и ищет index.html или index.htm на бэкенде. А вам надо index.php. Конфигурацию для php лучше писать на бэкенде, так как можно тогда подключиться к php-fpm через соby Maximus43 - Php-fpm Mailing List - Russian
Igor Sysoev Wrote: > http://sysoev.ru/nginx/docs/http/ngx_http_ssl_modu > le.html > > Поддерживается проверка > сертификатов клиентов с > ограничением — если > в файле, заданном > директивой ssl_certificate, > указана цепочка > сертификатов, >by Maximus43 - Nginx Mailing List - Russian
Rush Wrote: ------------------------------------------------------- > Проверьте, что вы всё > сделали правильно с > помощью утилиты openssl. > Когда убедитесь, что > проблема именно со стороны > nginx, высылайте > конфиги. Что именно мне проверяby Maximus43 - Nginx Mailing List - Russian
Странно, что никто не отвечает. Я какой-то неправильный вопрос задал или просто ответов нет?by Maximus43 - Nginx Mailing List - Russian
Есть корневой центр сертификации RootCA. Он подписал сертификаты двух промежуточных ЦС: SubCA1 и SubCA2. Те в свою очередь выпустили по одному серверному сертификату и по одному клиентскому. Серверные сертификаты установленыby Maximus43 - Nginx Mailing List - Russian
Спасибо! Поставил ядро 2.6.18, уже час полет нормальный. :-) Надеюсь, что проблема решена. Gena Makhomed Wrote: ------------------------------------------------------- > On 06.09.2011 12:17, Maximus43 wrote: > > > Патчил ядро под OpenVZ сам. > > > Как грабли чинить >by Maximus43 - Nginx Mailing List - Russian
Илья Шипицин Wrote: > дайте угадаю, вы купили VPS ? > на технологии OpenVZ ? > а хостер поставил вместо > стабильного официального > ядра 2.6.18 > нестабильное (с точки > зрения патчей OpenVZ) ядро 2.6.32 > ? > > мы на такиеby Maximus43 - Nginx Mailing List - Russian
Igor Sysoev Wrote: > А в чём заключается > проблема ? Вводная: $ cat /etc/lsb-release DISTRIB_ID=Ubuntu DISTRIB_RELEASE=10.10 DISTRIB_CODENAME=maverick DISTRIB_DESCRIPTION="Ubuntu 10.10" $ uname -a Linux kirov 2.6.32.14-ovz32 #1 SMP Sun Dec 12 17:33:07 CET 2010 x86_64 GNU/Linux $ nginx -v nginx: nginx version: nginx/1.0.5 $ lby Maximus43 - Nginx Mailing List - Russian
Аналогичная проблема, как чинить-то?by Maximus43 - Nginx Mailing List - Russian
А в самом сертификате расширение CDP прописано, и если да, то доступен ли crl по той ссылке? Выполните команду openssl x509 -in user.crt -text для клиентского сертификата и посмотрите все поля.by Maximus43 - Nginx Mailing List - Russian
Здравствуйте! Недавно администрирую сервер, поэтому вопрос может показаться глупым. Однако сходу я его решить не смог. Стоит nginx в качестве фронтенда и nginx + php-fpm в качестве бэкенда. В раздел администратора вход по сертиby Maximus43 - Nginx Mailing List - Russian