nginx: [emerg] cannot load certificate SSL: error:0200100D:system library:fopen:Permission denied:fo

最新推荐文章于 2025-10-19 21:25:04 发布
原创 最新推荐文章于 2025-10-19 21:25:04 发布 · 3.8w 阅读 · 7 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#SELinux #0200100D #2006D002 #BIO_new_file #nginx

本文介绍了解决Nginx在更换SSL证书后无法启动的问题,详细分析了SELinux的安全上下文导致的访问权限错误,并提供了通过restorecon命令修复文件安全上下文的方法。
部署运行你感兴趣的模型镜像

换了SSL Cert之后,Nginx无法启动,发生如下错误。

nginx: [emerg] cannot load certificate “/etc/nginx/ssl/test.crt”: BIO_new_file() failed (SSL: error:0200100D:system library:fopen:Permission denied:fopen(’/etc/nginx/ssl/test.crt’,‘r’) error:2006D002:BIO routines:BIO_new_file:system lib)

  • 确认使用 sudo 运行。
  • 确认该文件可以 cat 打开。
  • 确认文件权限与原Cert一致。
  • nginx -t successful.

查了一下,原来是 SELinux 的问题。

SELinux,即 Security Enhanced Linux,是一种基于委任式存取控制 (Mandatory Access Control, MAC)的权限控制系统,比通常所理解的用户自主式存取控制 (Discretionary Access Control, DAC)更严格。

DAC 主要根据程序的拥有者和文件的rwx权限来决定用户可以进行的操作,但 root 可以控制一切,777文件可以被任何人操作。

MAC 可以通过规则限定特定的程序只能操作指定的文件,这样就算是 root 运行的程序,也不能随意访问其他不相关的文件了。

SELinux 默认使用 targeted模式。

getenforce

sestatus -v

检查 Audit log 可以发现,文件不能访问的原因,是程序与目标文件的 scontext(Security Context) 不一致。

Nginx 使用的是httpd_t,自己copy的文件使用的是user_home_t

导致这个问题的操作是,先在 home 下创建了文件,然后再 mv 到当前目录,而 scontext 不会因复制移动而修改。

$ sudo ausearch -m avc -ts today

time->Thu Apr  9 12:00:42 2020
type=PROCTITLE msg=audit(1586404842.411:635786): proctitle=2F7573722F7362696E2F6E67696E78002D63002F6574632F6E67696E782F6E67696E782E636F6E66
type=SYSCALL msg=audit(1586404842.411:635786): arch=c000003e syscall=2 success=no exit=-13 a0=55ba2565c54d a1=0 a2=1b6 a3=24 items=0 ppid=1 pid=65228 auid=4294967295 uid=0 gid=0 euid=0 suid=0 fsuid=0 egid=0 sgid=0 fsgid=0 tty=(none) ses=4294967295 comm="nginx" exe="/usr/sbin/nginx" subj=system_u:system_r:httpd_t:s0 key=(null)
type=AVC msg=audit(1586404842.411:635786): avc:  denied  { read } for  pid=65228 comm="nginx" name="test.crt" dev="dm-0" ino=136402657 scontext=system_u:system_r:httpd_t:s0 tcontext=unconfined_u:object_r:user_home_t:s0 tclass=file permissive=0

查看测试 Cert 与原来版本的区别。

$ sudo ls -lrtZ /etc/nginx/ssl
-rw-r--r--. root root system_u:object_r:httpd_config_t:s0 origin.crt
-rw-r--r--. root root system_u:object_r:httpd_config_t:s0 origin.key
-rw-r--r--. root root unconfined_u:object_r:user_home_t:s0 test.crt
-rw-r--r--. root root unconfined_u:object_r:user_home_t:s0 test.key

使用 restorecon 让文件恢复正确的 SELinux type。

$ sudo restorecon -v -R /etc/nginx/ssl/test.*
restorecon reset /etc/nginx/ssl/test.crt context unconfined_u:object_r:user_home_t:s0->unconfined_u:object_r:httpd_config_t:s0
restorecon reset /etc/nginx/ssl/test.key context unconfined_u:object_r:user_home_t:s0->unconfined_u:object_r:httpd_config_t:s0
$ sudo ls -lrtZ /etc/nginx/ssl
-rw-r--r--. root root system_u:object_r:httpd_config_t:s0 origin.crt
-rw-r--r--. root root system_u:object_r:httpd_config_t:s0 origin.key
-rw-r--r--. root root unconfined_u:object_r:httpd_config_t:s0 test.crt
-rw-r--r--. root root unconfined_u:object_r:httpd_config_t:s0 test.key

可以使用 semanage 查询和修改默认的目录安全性本文,此即restorecon 恢复的所谓正确 SELinux type 的来源。

$ sudo semanage fcontext -l|grep etc/nginx
/etc/nginx(/.*)?                                   all files          system_u:object_r:httpd_config_t:s0

重启 Nginx , 成功!

您可能感兴趣的与本文相关的镜像

Qwen-Image-Edit-2509

Qwen-Image-Edit-2509

图片编辑
Qwen

Qwen-Image-Edit-2509 是阿里巴巴通义千问团队于2025年9月发布的最新图像编辑AI模型,主要支持多图编辑,包括“人物+人物”、“人物+商品”等组合玩法

nginx: [emerg] cannot load certificate “t“: BIO_new_file() failed (SSL: error:0200100D:system ...:
ShareBoy
09-23 1万+
nginx: [emerg] cannot load certificate “/etc/nginx/hui.ifreeshare.com.crt”: BIO_new_file() failed (SSL: error:0200100D:system:system lib) 我正在我的Fedora服务器上安装一个nginx ssl代理. 我在/ etc / nginx下创建了一个证书和密钥对.它们看起来像这样: ls -l /etc/nginx/ total 84 … -rw-r–r--. 1 root
cannot load certificate “/usr/local/nginx/ssl/*.pem“: BIO_new_file() failed
weixin_49807584的博客
12-03 1万+
cannot load certificate "/usr/local/nginx/ssl/*.pem": BIO_new_file() failed (SSL: error:02001002:system library:fopen:No such file or directory:fopen('/usr/local/nginx/ssl/*.pem','r') error:2006D080:BIO routines:BIO_new_file:no such file)
nginx】docker cannot load certificate key “/etc/nginx/server.pem“
最新发布
云风行
10-19 96
docker nginx 报无法加载pem,应该配置*.key文件。
Nginx配置证书报错nginx: [emerg] cannot load certificate “../software/nginx/zhifu.pem“: BIO_new_file() fail
weixin_52998454的博客
02-17 1万+
Nginx配置证书报错nginx: [emerg] cannot load certificate "../software/nginx/zhifu.pem": BIO_new_file() failed (SSL: error:02001002:system library:fopen:No such file or directory:fopen('../software/nginx/zhifu.pem','r') error:2006D080:BIO routines:BIO_new_file:no
nginx 配置 ssl 后无法访问 nginx: [emerg] cannot load certificate “*”: BIO_new_file() failed
chenxiabin的博客
09-01 1万+
nginx 配置 ssl 后无法访问nginx -s reload 无异常,其他域名也可以正常访问使用 systemctl status nginx 查看状态,发现异常。
在window中nginx安装腾讯云ssl报错nginx: [emerg] cannot load certificate
热门推荐
qq_41525746的博客
10-29 3万+
在配置window下的niginx的时候出现了 nginx: [emerg] cannot load certificate "C:/ssl/1_flyrun.work_bundle.crt": BIO_ne w_file() failed (SSL: error:02001003:system library:fopen:No such process:fopen( 'C:/ssl/1_flyrun.work_bundle.crt','r') error:2006D080:BIO routines:B
freeradius:tls: error:0200100D:system library:fopen:Permission denied
qq_40378795的博客
12-01 2821
freeradius运行出现如下错误: tls: Failed reading certificate file "/etc/raddb/certs/server.pem" tls: error:0200100D:system library:fopen:Permission denied tls: error:20074002:BIO routines:file_ctrl:system lib tls: error:140DC002:SSL routines:use_certificate_chain_
nginx: [emerg] cannot load certificate “/ssl/w“error:2006D080:BIO routines:BIO_new_file:no such file
伟大是熬出来的
07-19 5299
无法加载到证书的解决方案 查找之前的docker 的挂载的地址和ip docker inspect nginx docker run --name ftpnginx -d -p 80:80 -p 443:443 -v /data/nginx/conf/nginx.conf:/etc/nginx/nginx.conf -v /data/nginx/logs:/var/log/nginx -v /data/nginx/ssl:/ssl -v /var/ftp/root/:/var/local/
Nginx配置SSL报错 nginx: [emerg] unknown directive "ssl"(Nginx目录中无configure)
guocunlei的博客
11-16 3021
1. 前言 项目中需要将请求方式改为https,在给Nginx配置SSL证书的时候,执行./nginx -t 报错: “nginx: [emerg] unknown directive ssl” 2. 原因 Nginx没有添加SSL模块,需要手动添加 3. 解决 1、准备手动添加SSL模块,看网上的文章都是进入Nginx解压目录中,执行: ./configur...
Nginx报403 forbidden错误 (13: Permission denied)的解决办法
09-30
在Linux环境下,特别是当错误信息显示为"(13: Permission denied)"时,通常与文件权限、索引文件缺失或SELinux策略有关。下面将详细介绍这三个可能导致403 Forbidden错误的原因及相应的解决办法。 一、缺少索引文件...
【异常】Nginx报错: [emerg] unknown directive ““ in /usr/local/nginx/nginx.conf:xx
本本本添哥
03-06 2万+
Nginx配置报错"[emerg] unknown directive"常见问题摘要:当执行nginx -s reload时出现此错误,通常是由于配置文件中存在多余空格或空行导致的语法问题。错误信息会显示发生问题的具体行号(xx)。解决方法需要仔细检查该行及相邻行的配置内容,删除多余空格或空行后重新保存即可。此类问题多因编辑时不小心多输入字符引起,细心检查重写配置即可解决。
nginx的权限问题(13: Permission denied)解决办法
吻等离子的博客
07-07 2万+
一个是www,一个是root用户。打开 nginx.conf 文件。查找nginx.conf的位置。
SSL证书:nginx: [emerg] unknown directive “ssl“ in /usr/local/nginx/conf/vhosts/csdlroute-51coin-443.co
weixin_43560924的博客
11-06 2192
SSL证书:nginx: [emerg] unknown directive "ssl" in /usr/local/nginx/conf/vhosts/csdlroute-51coin-443.conf:9 引用地址:https://blog.youkuaiyun.com/weixin_38111957/article/details/81283121 一、引言 当我们的Linux服务器上当中发布了web项目,有时候需要配置一个SSL证书,这样表示你这个网站还比较正式哈哈哈。当我把证书下载好,把nginx.conf配
Nginx 配置SSL 证书 cannot load certificate No such file or directory
zzxwx的博客
11-21 2万+
生产环境下Docker用Nginx安装启动配置SSL证书时候 一直报错找不到证书文件 明明我的路径下有这个文件啊,怎么就没有 需要注意的两个点: 1.docker 启动添加配置 证书文件路径 我的如下图所示: -v /usr/local/software/nginx/cert:/usr/local/software/nginx/cert 你们在自己的启动命令上 加上对应的自...
docker 启动的nginx配置ssl证书cannot load certificate
weixin_38643500的博客
12-19 779
Nginx 在 Docker 内。配置应该 在 nginx 的容器里,而不是宿主机!故将 SSL 证拷入容器配置后就OK 了!最后 将SSL 证书目录 挂载到 nginx 上,配置改用 nginx 内部的文件目录,就OK。
cedalo platform为mosquitto配置ssl_openssl error[0] error 0200100d system library fo(1)
2401_84009749的博客
05-13 358
一个是CA的证书,一个是服务器的证书。然后把证书上传到服务器。
Nginx配置ssl证书,加密成https过程细节(the ssl directive is deprecated-cannot load certificate)
路虽远行则将至,事虽难做则必成。
09-17 1567
日常开发中我们在公网访问项目时,一般都是安全连接,https://开头(极少数http://)当我们自己配置的域名服务器,通过Nginx转发之后确实http,这是因为我们没有配置证书浏览器会察觉我们的传输没有规范加密,所以认定我们的连接不安全,但并不影响使用其实当域名是我们自己时候,是有相对应免费的ssl证书申请,只是我们自己没有申请。
NginxPermission denied错误
weixin_30321449的博客
10-25 129
https://www.cnblogs.com/zhangqunshi/p/6654866.html 转载于:https://www.cnblogs.com/diyunpeng/p/9848714.html
nginx证书填写路径报错:SSL: error:0200107B:system library:fopen:Unknown error:fopen
希望能找到你的答案
11-24 9696
nginx配置ssl证书时,启动报错,无法找到证书文件,报错日志如下: 2021/11/24 15:52:19 [emerg] 4124#3800: cannot load certificate "E: ginx-1.21.4\ssl\6667030_xxxx.pem": BIO_new_file() failed (SSL: error:0200107B:system library:fopen:Unknown error:fopen('E: ginx-1.21.4\ssl\6667030_xxxx
discourse 安装 启动后 报 nginx: [emerg] cannot load certificate "
07-17
在 Discourse 安装后启动失败,Nginx 报错 `cannot load certificate` 的问题通常与证书路径配置错误、证书文件权限不足或证书内容格式不正确有关。以下是可能的解决方案: ### 1. 检查证书路径配置 确保在 Discourse 配置文件(通常是 `containers/app.yml`)中指定的 SSL 证书路径是正确的。例如: ```yaml params: # ssl_certificate: /shared/ssl/discourse.example.com.crt # ssl_certificate_key: /shared/ssl/discourse.example.com.key ``` 确认这些路径指向实际存在的证书文件,并且容器内可以访问这些文件。 ### 2. 检查证书文件权限 证书文件需要对运行 Nginx 的用户具有读取权限。通常情况下,可以通过以下命令修改权限: ```bash chmod 644 /path/to/discourse.example.com.crt chmod 600 /path/to/discourse.example.com.key ``` ### 3. 验证证书和私钥内容 使用 OpenSSL 工具检查证书和私钥是否匹配,并且没有语法错误: ```bash openssl x509 -in /path/to/discourse.example.com.crt -text -noout openssl rsa -in /path/to/discourse.example.com.key -check ``` 如果发现任何问题,请重新生成或获取有效的证书文件。 ### 4. 确保私钥未加密 如果私钥受到密码保护,则 Nginx 将无法自动加载它。可以通过以下命令去除密码: ```bash openssl rsa -in /path/to/encrypted.key -out /path/to/unencrypted.key ``` ### 5. 重新构建并重启 Discourse 容器 完成上述更改后,执行以下命令重建并重启 Discourse 容器以应用新配置: ```bash cd /var/discourse ./launcher rebuild app ./launcher restart app ``` ### 6. 检查日志以进一步诊断 查看 Nginx 日志和容器日志来获取更详细的错误信息: ```bash docker logs <nginx_container_id> tail -f /var/log/nginx/error.log ``` 通过以上步骤,大多数与证书加载相关的 Nginx 错误都可以得到解决。
评论 5
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值