Разработчикам

Форум

Ошибка проверки сайта Работа с сокетами - Socket error [111]: Connection refused

Пользователь 687209 Заглянувший Сообщений: 7 Регистрация: 13.10.2016	#21 0 11.01.2017 11:36:52 Решение кто-нибудь нашел?

Пользователь 9632

Заглянувший

Сообщений: 5 Баллов: 2 Регистрация: 26.02.2007

#22

16.01.2017 21:47:32

Решение для socket ошибок через https - установить подписанный сертификат.
Для Bitrix-Env это будет /etc/nginx/ssl/cert.pem

Подозреваю что тест использует curl под капотом, т.е. руками можно проверить вот так:

Код
curl https://testwebsite.ru:443

Если это тестовая машинка - то конечно нужно добавить домен в локальный /etc/hosts

Файл /etc/nginx/ssl/cert.pem состоит сразу из ключа и сертификата.
Ключ идет первым, потом сертификат, потом ssl bundle (доп. сертификаты для корректной цепочки от CA).

Без bundle - все равно ошибка:

Код

# curl https://testwebsite.ru:443
curl: (60) Peer certificate cannot be authenticated with known CA certificates
More details here: http://curl.haxx.se/docs/sslcerts.html

curl performs SSL certificate verification by default, using a "bundle"
 of Certificate Authority (CA) public keys (CA certs). If the default
 bundle file isn't adequate, you can specify an alternate file
 using the --cacert option.
If this HTTPS server uses a certificate signed by a CA represented in
 the bundle, the certificate verification probably failed due to a
 problem with the certificate (it might be expired, or the name might
 not match the domain name in the URL).
If you'd like to turn off curl's verification of the certificate, use
 the -k (or --insecure) option.

С подписанным сертификатом и bundle:

Код
# curl https://testwebsite.ru:443

В output отдаст html контент сайта.

После замены сертификата нужно убедиться что nginx подхватил все корректно и перезапустить\сделать reload для nginx:

Код
# nginx -t nginx: the configuration file /etc/nginx/nginx.conf syntax is ok nginx: configuration file /etc/nginx/nginx.conf test is successful

Код
# /etc/init.d/nginx restart Stopping nginx: [ OK ] Starting nginx: [ OK ]

Пользователь 162990 Заглянувший Сообщений: 3 Регистрация: 21.05.2013	#23 0 19.01.2017 15:51:25 Станислав, подскажите, как создать pem-сертификат, который состоит из ключа, сертификата и бандла?

Пользователь 9632

Заглянувший

Сообщений: 5 Баллов: 2 Регистрация: 26.02.2007

#24

24.01.2017 00:31:46

Денис,

Допустим вот так выглядят файлы сертификата, ключа и bundle на файловой системе:

Код

# ls -al /data/ssl/testsite.ru
total 32
drwxr-xr-x  2 root root    82 Jan 11 02:01 .
drwxr-xr-x 40 root root 12288 Jan 19 05:23 ..
-rw-r--r--  1 root root  3169 Jan 11 02:01 account_key.json
-rw-r--r--  1 root root  2158 Jan 11 02:01 cert.pem
-rw-r--r--  1 root root  3805 Jan 11 02:01 fullchain.pem
-rw-r--r--  1 root root  3271 Jan 11 02:01 key.pem

(так они выглядят при получении от LetsEncrypt, только у меня они в /data/ssl)
Объединить их можно cat'ом:

Код
cat /data/ssl/testsite.ru/key.pem /data/ssl/testsite.ru/cert.pem /data/ssl/testsite.ru/fullchain.pem > /etc/nginx/ssl/cert.pem

Важно - чтобы между файлами ключами и сертификатами был перенос строки - символ \n. В моем случае переноса строки в конце файла не было и получалось вот так:

Код

swnA2xFZpWKNGzL+PQAWtsQ2zTa28WG6DaojVIQ09tVE0UjuuBlBsXM1BW+pRGw3
5e4NCZlsNSydGiB3xAsKDkNEGYz4qrotxu3x5rxpgaFIF+ya601QXdc+b1Skq5wD
WbhljpI+XbihXT0ZTdTAwR2tbO0UVQ==
-----END PRIVATE KEY----------BEGIN CERTIFICATE-----
MIIGDDCCBPSgAwIBAgISAwY+F6vodhsW0p9fQ792JPsuMA0GCSqGSIb3DQEBCwUA
MEoxCzAJBgNVBAYTAlVTMRYwFAYDVQQKEw1MZXQncyBFbmNyeXB0MSMwIQYDVQQD

Конец ключа слился с началом сертификата.
Одно из решений:

Код
awk 'FNR==1{print ""}1' /data/ssl/testsite.ru/key.pem /data/ssl/testsite.ru/cert.pem /data/ssl/testsite.ru/fullchain.pem > /etc/nginx/ssl/cert.pem

В итоге выглядит корректно:

Код

-----BEGIN PRIVATE KEY-----
MIIJQgIBADANBgkqhkiG9w0BAQEFAASCCSwwggkoAgEAAoICAQDQsYb6eFaG5Gaa
koaqZs6R2XjEYIM/OSkmyLwLER0dqAX0qVi+tHsaZndt+yiZyUnqYj+Ccf4Pg6sz
..
WbhljpI+XbihXT0ZTdTAwR2tbO0UVQ==
-----END PRIVATE KEY-----
-----BEGIN CERTIFICATE-----
MIIGDDCCBPSgAwIBAgISAwY+F6vodhsW0p9fQ792JPsuMA0GCSqGSIb3DQEBCwUA
..
TX0MC9+lXjOOYFQiaXUsp/gjQkLFsnRfm0+JW1bUrt5keWe20ckUS6pvoTH7EenK
hXxdXhIdgnEpxHzSVP8fgg==
-----END CERTIFICATE-----
-----BEGIN CERTIFICATE-----
MIIGDDCCBPSgAwIBAgISAwY+F6vodhsW0p9fQ792JPsuMA0GCSqGSIb3DQEBCwUA
MEoxCzAJBgNVBAYTAlVTMRYwFAYDVQQKEw1MZXQncyBFbmNyeXB0MSMwIQYDVQQD
..
hXxdXhIdgnEpxHzSVP8fgg==
-----END CERTIFICATE-----
-----BEGIN CERTIFICATE-----
MIIEkjCCA3qgAwIBAgIQCgFBQgAAAVOFc2oLheynCDANBgkqhkiG9w0BAQsFADA/
..
PfZ+G6Z6h7mjem0Y+iWlkYcV4PIWL1iwBi8saCbGS5jN2p8M+X+Q7UNKEkROb3N6
KOqkqm57TH2H3eDJAkSnh6/DNFu0Qg==
-----END CERTIFICATE-----

Проверяем, нравится ли новый сертификат nginx'у:

Код
nginx -t

Если нравится:

Код
nginx: the configuration file /etc/nginx/nginx.conf syntax is ok nginx: configuration file /etc/nginx/nginx.conf test is successful

Тогда перезапускаем:

Код
# /etc/init.d/nginx restart Stopping nginx: [ OK ] Starting nginx: [ OK ]

Проверяем на ошибки (/bitrix/admin/site_checker.php). Ошибок больше нет.

Пользователь 173519

Эксперт

Сообщений: 493 Баллов: 54 Регистрация: 30.03.2013

#25

21.02.2017 19:09:41

Цитата
Станислав Старикевич написал: Решение для socket ошибок через https - установить подписанный сертификат.

После обновления до битрикс окружения 7.0 появились проблемы с сокетами по ssl (https). при тестировании платежной системы яндекс денег получаю ошибку Socket connection error. php обновилис до 7.0.16 , а с версии 5.6 обновили OpenSSL.

Установил самоподписанный сертификат по инструкции https://www.digitalocean.com/community/tutorials/how-to-create-a-ssl-certificate-on-nginx-for-centos...

Затем в настройках nginx /etc/nginx/bx/conf/ssl.conf прописал пути к файлам сертификата

Код
ssl_certificate /etc/nginx/ssl/server.crt; ssl_certificate_key /etc/nginx/ssl/server.key;

Далее необходимо в настройках php добавить путь к файлу сертификата ( чтобы корректно отрабатывал curl, равнозначно команде curl --cacert server.crt https://example.com:443/ )

Добавляем в файл /etc/php.d/z_bx_custom.ini

Код
openssl.cafile="/etc/nginx/ssl/server.crt"

Разработка и поддержка интернет магазинов на Битрикс www.fl.ru/users/electroid/, интеграция битрикс и 1С.

Пользователь 48844

Постоянный посетитель

Сообщений: 184 Баллов: 14 Регистрация: 15.09.2009

#26

21.03.2017 08:58:25

Цитата
Дмитрий Ипатов написал: Затем в настройках nginx /etc/nginx/bx/conf/ssl.conf прописал пути к файлам сертификата

подскажите алгоритм установка не самоподписанного ?

и файла *.key нет
есть только такие

http://zemledelec-profi.ru

Пользователь 226895 Заглянувший Сообщений: 4 Регистрация: 18.11.2013	#27 1 06.04.2017 16:51:29 Еще вариант решения в /etc/hosts 127.0.0.1 localhost 00.000.00.00 site1.ru site2.ru site3.ru гда 00.000.00.00 - ip адрес сервера

Пользователь 66977

Заглянувший

Сообщений: 1 Регистрация: 09.07.2010

#28

14.04.2017 19:02:22

Убедитесь, что правильно указан IPv6 адрес, так как curl (что используется в Битрикс) работает по нему. Такая проблема часто возникает на виртуальных серверах при переносах домена между аккаунтами: IP поменяли, сайт открывается, а курл сам на домен сайта дает 500 ошибку.
Аналогичная проблема бывает с счетчиками Яндекс.Метрики: показания снимает, но всегда недоступен (красный).
Надеюсь кому помогло.

Пользователь 56043

Заглянувший

Сообщений: 3 Регистрация: 02.02.2013

#29

10.05.2017 20:45:05

Проблему решил так, необходимо объединить crt и ca-bundle:

Код
cat server.crt cerver.ca-bundle >> server-ca.crt

далее в nginx прописал его, а не server.crt

Код
ssl_certificate /etc/nginx/ssl/server-ca.crt

Проверить правильность очень просто: в консоли выполните

Код
curl https://ваш_сайт:443

если получаете "curl: (60) server certificate verification failed. ..." вместо контента сайта, то сертификат установлен невено.

Пользователь 41284 Заглянувший Сообщений: 6 Регистрация: 18.09.2017	#30 1 22.12.2017 12:54:53 Была та же проблема недоустановки сертификатов Comodo. Решил так: Сертификат был приобретен не мной, «в наследство» мне достались лишь 2 файла – xxx.pem и xxx.key. Протоколы были настроены, но битрикс не проходил тест на сокеты – ошибка сокетов хоть ты тресни – что в админке "Работа с сокетами Ошибка! Не работает" – отсюда и ниже. Что в скрипте проверки битрикс – «Warning: fsockopen(): SSL operation failed with code 1. OpenSSL Error messages: error:14090086:SSL routines:SSL3_GET_SERVER_CERTIFICATE:certificate verify failed in /home/bitrix/www/bitrix_server_test.php on line 624» И к тому же что apache, что nginx выдавали что-то типа «httpd: (98)Address already in use: make_sock: could not bind to address», первый – немного, второй – много занятых портов. Пробовал решать различными путями – ничего не помогало. Набрел на инструкцию Comodo - https://support.comodo.com/index.php?/Knowledgebase/Article/View/1091/37/certificate-installation--nginx В ней говорится, что для nginx нужно объединить сертификаты «xxx. ca-bundle» и «xxx.crt» и уже такой объединенный файл подсовывать nginx-у. Но у меня-то небыло ни crt-файла ни ca-bundle-файла. На это Comodo на этой же страничке инструкции предлагает скачать ca-bundle-файл, а вернее, несколько файлов – для домена, файл расширенной валидации и файл для организации. Мне нужен был для домена, его я и скачал - https://support.comodo.com/index.php?/Knowledgebase/Article/GetAttachment/1091/1282988 Называется он «domain_validated.ca-bundle» Ну хорошо, ca-bundle-файл – есть, но никакого crt – нет как нет. Поэтому за неимением вместо crt взял pem-файл. В консоли перешел в папку сертификатов: «cd /etc/nginx/ssl/». И запустил объединение файлов командой «cat server.pem domain_validated.ca-bundle > ssl-bundle.crt», в результате чего в папке сертификатов был создан объединенный файл «ssl-bundle.crt». Вот этот вновь созданный сертификат я и подсунул nginx, то есть в файле конфигурации было: «ssl_certificate /etc/nginx/ssl/xxx.pem;» А стало: «ssl_certificate /etc/nginx/ssl/ssl-bundle.crt;» Рестартанул nginx “service nginx restart” И пошел проверять. В Битрикс – админке – ошибки исчезли. В Битрикс скрипте проверки – тоже. Тест в консоли «curl https://somebody.ru:443» - также прошел на ура и выдал содержимое страницы в консоль. Тесты на сайтах тестирования сертификатов – улучшились, но уровень «A» таки получить не удалось, - остался «B» - https://www.ssllabs.com/ssltest/ . Тестер комодо - https://sslanalyzer.comodoca.com/ тоже выдал некоторые проблемы с « DH 1024-bit». И в инфо на https://weakdh.org/sysadmin.html было рекомендовано создать новую группу командой «openssl dhparam -out dhparams.pem 2048», что я и сделал в консоли. Скрипт предупредил, что это может продлиться долго – на практике это заняло 1-2 минуты (как раз чтобы налить себе чаю). openssl dhparam -out dhparams.pem 2048 openssl dhparam -out dhparams.pem 2048 Generating DH parameters, 2048 bit long safe prime, generator 2 This is going to take a long time .......................+.............+....+............................................................................................* [root@xxx]# Файл сертификата “dhparams.pem” был создан по адресу: /etc/nginx/ssl/ Далее: Проверяем nginx – nginx –t Всё ОК! Перезапускаем nginx - service nginx restart Проверяем сертификат: https://www.ssllabs.com/ssltest/ И – вуаля! Общий уровень – “A”!

Форум

Центр поддержки

Продукты

Управление сайтом

Битрикс24

Интернет-магазин + CRM

Решения

Для интернет-магазинов

Каталог готовых решений

Внедрение

Выбрать партнера

Проверить партнера

Стать партнером