一个因 CA 根证书逾期引起的血案，实情竟然是…

10点阁下，同事反馈咨询线上的Sentry 处事器此刻是否正常。之后去搜查 Sentry 处事，运行正常，可是该应用处事对接的Sentry频道已经好久没有变乱进来了。

感受不太对劲，再去搜查下 Sentry worker专用的容器，发明该Worker处事中中有些错误日记：

E, [2020-06-01T04:02:03.670850 #6] ERROR -- sentry: ** [Raven] Unable to record event with remote Sentry server (Raven::Error - SSL_connect returned=1 errno=0 state=SSLv3 read server certificate B: certificate verify failed (certificate has expired)): 

/usr/local/bundle/gems/sentry-raven-2.7.3/lib/raven/transports/http.rb:34:in `rescue in send_event' 

/usr/local/bundle/gems/sentry-raven-2.7.3/lib/raven/transports/http.rb:16:in `send_event' 

/usr/local/bundle/gems/sentry-raven-2.7.3/lib/raven/client.rb:37:in `send_event' 

/usr/local/bundle/gems/sentry-raven-2.7.3/lib/raven/instance.rb:81:in `send_event' 

/app/src/worker.rb:26:in `perform' 

/usr/local/bundle/gems/sidekiq-5.1.3/lib/sidekiq/processor.rb:187:in `execute_job' 

/usr/local/bundle/gems/sidekiq-5.1.3/lib/sidekiq/processor.rb:169:in `block (2 levels) in process' 

/usr/local/bundle/gems/sidekiq-5.1.3/lib/sidekiq/middleware/chain.rb:128:in `block in invoke' 

/usr/local/bundle/gems/sentry-raven-2.7.3/lib/raven/integrations/sidekiq.rb:9:in `call' 

/usr/local/bundle/gems/sidekiq-5.1.3/lib/sidekiq/middleware/chain.rb:130:in `block in invoke' 

/usr/local/bundle/gems/sidekiq-5.1.3/lib/sidekiq/middleware/chain.rb:133:in `invoke' 

E, [2020-06-01T04:02:03.671130 #6] ERROR -- sentry: ** [Raven] Failed to submit event: <no message value> 

稀疏？sentry-worker 在连sentry server 时哀求域名的证书逾期了？

针对上面的错误信息，先去搜查了相干挪用的域名证书的有用期，发明都在有用期内。并且印象中都是年头刚改换的。以是解除了是域名证书题目。

然后按照错误日记，实行在本身电脑上用下curl 呼吁，偶合的很，也碰着了相同的错误。

$ curl https://sentry.xxx.com 

curl: (60) SSL certificate problem: certificate has expired 

More details here: https://curl.haxx.se/docs/sslcerts.html 

curl failed to verify the legitimacy of the server and therefore could not 

establish a Secure connection to it. To learn more about this situation and 

how to fix it, please visit the web page mentioned above. 

我又去找了其余一台 Centos 主机，发明 curl 返回的功效是正常的，从 web 端和centos 客户端 curl 都乐成的看，像是我本机电脑的 curl 和sentry-worker主机出了题目。

之后用到网上找到行使openssl呼吁排查ssl错误的要领：

$ openssl s_client -showcerts -servername sentry.xxx.com -connect sentry.xxx.com:443 

CONNECTED(00000003) 

（编辑：湖南网）

【声明】本站内容均来自网络，其相关言论仅代表作者个人观点，不代表本站立场。若无意侵犯到您的权利，请及时与联系站长删除相关内容!