Nginx SNI + OCSP 装订不起作用

【问题标题】:Nginx SNI + OCSP stapling not workingNginx SNI + OCSP 装订不起作用
【发布时间】:2018-04-09 11:13:42
【问题描述】:

我最近尝试在我的一台 nginx 服务器上设置 OCSP。
不幸的是,我无法让它工作,到目前为止也没有找到解决方案。

配置如下:

ssl_certificate /etc/ssl/private/mysite.com/combined.pem;
ssl_certificate_key /etc/ssl/private/mysite.com/privkey.pem;
ssl_trusted_certificate /etc/ssl/private/mysite.com/fullchain.crt;

ssl_stapling on;
ssl_stapling_verify on;
resolver 8.8.8.8 valid=300s;
resolver_timeout 15s;

fullchain.crt 包含服务器证书、中间证书和根证书。

如果我手动检查这些证书:

openssl ocsp -issuer intermediate.crt -CAfile fullchain.crt -cert cert.crt -url http://tm.symcd.com -no_nonce

返回正常:

Response verify OK
cert.crt: good
    This Update: Apr  7 11:26:10 2018 GMT
    Next Update: Apr 14 11:26:10 2018 GMT

但是用 s_client 从别处检查服务器总是返回

OCSP response: no response sent

即使在等待几分钟后,nginx 总是会抛出错误:

2018/04/09 12:59:06 [error] 9474#9474: OCSP_basic_verify() failed (SSL: error:27069065:OCSP routines:OCSP_basic_verify:certificate verify error:Verify error:unable to get issuer certificate) while requesting certificate status, responder: tm.symcd.com

服务器使用 SNI,因为它提供具有不同证书的多个站点。
有人知道我在这里缺少什么吗?

【问题讨论】:

    标签: nginx certificate sni ocsp


    【解决方案1】:

    在您的 openssl s_client 命令中,您应该通过添加 SNI 选项 (-servername) 重试: openssl s_client -connect <fqdn>:443 -servername <fqdn> -status -tlsextdebug -tls1_2 ...

    我遇到了同样的问题,并且对我有用。

    【讨论】:

      猜你喜欢
      • 1970-01-01
      • 1970-01-01
      • 1970-01-01
      • 1970-01-01
      • 2016-07-07
      • 2021-09-01
      • 1970-01-01
      • 1970-01-01
      • 1970-01-01
      相关资源
      最近更新 更多
      热门标签
      Java Python linux javascript Mysql C# Docker 算法 前端 SpringBoot Redis Vue spring 设计模式 .net core .net kubernetes c++ 数据库 数据结构 大数据 js 机器学习 微服务 Android Go 程序员 面试 JVM ASP.net core 云原生 人工智能 后端 PHP git CSS golang k8s Nginx Django mybatis 深度学习 多线程 React 架构 devops 爬虫 云计算 Spring Boot LeetCode