Bonjour a tous.
Je suis confronté parfois à un bug embarrassant avec apache (mpm event) et Let's Encrypt. lors du renouvellement automatique de ce dernier, celui-ci effectue un graceful pour recharger les confs et prendre en compte le nouveau certif/clé généré.
Mais problème, parfois, un ou plusieurs childs ne sont jamais arrêtés, même au bout de plusieurs jours, ce qui fait qu'ils présentent toujours l'ancien certificat, celui qui a donc expiré, ce qui n'est pas top, alors que les autres childs ont eux bien repris la bonne configuration, ce qui fait que le problème est en plus difficile a déceler.
Avez-vous déjà rencontrer ce genre de situation ? Une solution a proposer pour éviter que cela ne se reproduise ?
D'après la doc, GracefulShutdownTimeout n'est pas une solution car let's encrypt ne fait pas un "graceful-stop", et je ne trouve pas de "GracefulTimeout" tout court...
Merci beaucoup.
Pierre.
Le 08/03/2019 à 09:23, Pierre DOLIDON a écrit :
Bonjour a tous.
Je suis confronté parfois à un bug embarrassant avec apache (mpm event) et Let's Encrypt. lors du renouvellement automatique de ce dernier, celui-ci effectue un graceful pour recharger les confs et prendre en compte le nouveau certif/clé généré.
Mais problème, parfois, un ou plusieurs childs ne sont jamais arrêtés, même au bout de plusieurs jours, ce qui fait qu'ils présentent toujours l'ancien certificat, celui qui a donc expiré, ce qui n'est pas top, alors que les autres childs ont eux bien repris la bonne configuration, ce qui fait que le problème est en plus difficile a déceler.
[...]
Bonjour,
je passe par un reverse proxy, dont la configuration est simple, et qui relance rapidement. Je n'ai pas ce soucis de childs qui durent plusieurs jours non plus.
J'utilise nginx pour le reverse proxy, mais ça pourrait être haproxy ou autre chose.
Bonjour,
Ca me fait penser a ce bug Apache (concernant les workers mpm_event) https://bz.apache.org/bugzilla/show_bug.cgi?id=53555 Les workers plantent parfois quand il se font recycler et finissent par saturer le systeme. Le phenome s'est manifeste de mon cote suite au Gracefull quotidien de logrotate. Last time I checked le bug n'a pas ete encore backporte sur CentOS 7 et la reco est de changer de MPM (ce que j'ai fait) : https://bugzilla.redhat.com/show_bug.cgi?id=1450468
Youssef Ghorbal
On Fri, Mar 8, 2019 at 9:25 AM Pierre DOLIDON sn4ky@sn4ky.net wrote:
Bonjour a tous.
Je suis confronté parfois à un bug embarrassant avec apache (mpm event) et Let's Encrypt. lors du renouvellement automatique de ce dernier, celui-ci effectue un graceful pour recharger les confs et prendre en compte le nouveau certif/clé généré.
Mais problème, parfois, un ou plusieurs childs ne sont jamais arrêtés, même au bout de plusieurs jours, ce qui fait qu'ils présentent toujours l'ancien certificat, celui qui a donc expiré, ce qui n'est pas top, alors que les autres childs ont eux bien repris la bonne configuration, ce qui fait que le problème est en plus difficile a déceler.
Avez-vous déjà rencontrer ce genre de situation ? Une solution a proposer pour éviter que cela ne se reproduise ?
D'après la doc, GracefulShutdownTimeout n'est pas une solution car let's encrypt ne fait pas un "graceful-stop", et je ne trouve pas de "GracefulTimeout" tout court...
Merci beaucoup.
Pierre.
Liste de diffusion du FRsAG http://www.frsag.org/
Décidément, event et ses bugs...
dans ce cas précis, apache n'est malheureusement pas une option, donc la seule solution restante c'est de passer sur un worker plus classique, et aussi plus éprouvée.
Merci.
Le 08/03/2019 à 10:32, Youssef Ghorbal a écrit :
Bonjour,
Ca me fait penser a ce bug Apache (concernant les workers mpm_event) https://bz.apache.org/bugzilla/show_bug.cgi?id=53555 Les workers plantent parfois quand il se font recycler et finissent par saturer le systeme. Le phenome s'est manifeste de mon cote suite au Gracefull quotidien de logrotate. Last time I checked le bug n'a pas ete encore backporte sur CentOS 7 et la reco est de changer de MPM (ce que j'ai fait) : https://bugzilla.redhat.com/show_bug.cgi?id=1450468
Youssef Ghorbal
On Fri, Mar 8, 2019 at 9:25 AM Pierre DOLIDON sn4ky@sn4ky.net wrote:
Bonjour a tous.
Je suis confronté parfois à un bug embarrassant avec apache (mpm event) et Let's Encrypt. lors du renouvellement automatique de ce dernier, celui-ci effectue un graceful pour recharger les confs et prendre en compte le nouveau certif/clé généré.
Mais problème, parfois, un ou plusieurs childs ne sont jamais arrêtés, même au bout de plusieurs jours, ce qui fait qu'ils présentent toujours l'ancien certificat, celui qui a donc expiré, ce qui n'est pas top, alors que les autres childs ont eux bien repris la bonne configuration, ce qui fait que le problème est en plus difficile a déceler.
Avez-vous déjà rencontrer ce genre de situation ? Une solution a proposer pour éviter que cela ne se reproduise ?
D'après la doc, GracefulShutdownTimeout n'est pas une solution car let's encrypt ne fait pas un "graceful-stop", et je ne trouve pas de "GracefulTimeout" tout court...
Merci beaucoup.
Pierre.
Liste de diffusion du FRsAG http://www.frsag.org/
Salut
Et avec un start stop ? C'est peut être bourrin mais cela évite des surprises. C'est ce que je fais de temps en temps (couplé à un pkill avant) , je pense que c'est lié à la remarque de Youssef ressemblant assez à mon cas.
Km
Le 08/03/2019 à 10:59, cam.lafit@azerttyu.net a écrit :
oui, a partir du moment où apache est stop/start pas de soucis, car le certif est bon, mais c'est pas le process standard LE (et en plus, ça coupe brutalement les connexions en cours).
Salut
Et avec un start stop ? C'est peut être bourrin mais cela évite des surprises. C'est ce que je fais de temps en temps (couplé à un pkill avant) , je pense que c'est lié à la remarque de Youssef ressemblant assez à mon cas.
Km
-
cam.lafit@azerttyu.net -
Grégoire G -
Pierre DOLIDON -
Youssef Ghorbal