我正在尝试在 Nginx 上设置 OCSP 装订
我收到错误:
"ssl_stapling" ignored, host not found in OCSP responder "ocsp.comodoca.com"
这是文件 .conf
server {
ssl_certificate /etc/nginx/myfile.crt;
ssl_certificate_key /etc/nginx/myfile.key;
ssl_stapling on;
ssl_stapling_verify on;
ssl_trusted_certificate /etc/nginx/myfile_trusted.crt;
resolver 8.8.8.8 8.8.4.4 valid=300s;
resolver_timeout 15s;
}
请提出具体的解决方案。
我刚刚在测试新版本时遇到了同样的问题nginx配置为nginx -t
(以 root 身份运行);就我而言,错误消息是:
2014/11/15 01:38:43 [warn] 5114#0: "ssl_stapling" ignored, host not found in OCSP responder "ocsp.startssl.com/sub/class1/server/ca"
然而,几秒钟后我再次进行了尝试,然后它就成功了。
我的建议如下:
- 检查配置的解析器是否正在响应(但我相信您使用了 Google 公共 DNS,所以它们应该没问题);
- 尝试删除无关的选项(第二个解析器地址,
valid=
参数和resolver_timeout
指示);
- 检查你的
ssl_trusted_certificate
文件是根 CA 证书和中间证书的捆绑包PEM 格式(在我的例子中,我将 1 类中间服务器 CA 附加到根 CA# cat ca.pem sub.class1.server.ca.pem > bundle_certs.pem
).
我刚刚注意到你的ssl_trusted_certificate
文件结尾为.crt
。我不确定这是否真的相关,但是nginx 文档说 http://nginx.org/en/docs/http/ngx_http_ssl_module.html#ssl_trusted_certificate(强调我的):
句法:ssl_trusted_certificate
file;
默认: -
语境:http, server
该指令出现在 1.3.7 版本中。
指定一个file具有受信任的 CA 证书PEM 格式如果启用了 ssl_stapling,则用于验证客户端证书和 OCSP 响应。
所以你可能想先检查一下。
如果它可以帮助我的 OCSP 配置是:
# OCSP Stapling ---
# fetch OCSP records from URL in ssl_certificate and cache them
# see <http://nginx.org/en/docs/http/ngx_http_ssl_module.html#ssl_stapling>
ssl_stapling on;
resolver 192.168.1.254;
ssl_stapling_verify on;
# verify chain of trust of OCSP response using Root CA and Intermediate certs
ssl_trusted_certificate https/bundle_certs.pem;
Edit: 192.168.1.254
是我的家庭路由器 LAN IP。每次我测试nginx我第一次遇到同样的错误,我想必须初始化解析器或类似的东西。
本文内容由网友自发贡献,版权归原作者所有,本站不承担相应法律责任。如您发现有涉嫌抄袭侵权的内容,请联系:hwhale#tublm.com(使用前将#替换为@)