【问题标题】:Nginx SNI + OCSP stapling not workingNginx SNI + OCSP 装订不起作用
【发布时间】:2018-04-09 11:13:42
【问题描述】:

我最近尝试在我的一台 nginx 服务器上设置 OCSP。
不幸的是,我无法让它工作,到目前为止也没有找到解决方案。

配置如下:

ssl_certificate /etc/ssl/private/mysite.com/combined.pem;
ssl_certificate_key /etc/ssl/private/mysite.com/privkey.pem;
ssl_trusted_certificate /etc/ssl/private/mysite.com/fullchain.crt;

ssl_stapling on;
ssl_stapling_verify on;
resolver 8.8.8.8 valid=300s;
resolver_timeout 15s;

fullchain.crt 包含服务器证书、中间证书和根证书。

如果我手动检查这些证书:

openssl ocsp -issuer intermediate.crt -CAfile fullchain.crt -cert cert.crt -url http://tm.symcd.com -no_nonce

返回正常:

Response verify OK
cert.crt: good
    This Update: Apr  7 11:26:10 2018 GMT
    Next Update: Apr 14 11:26:10 2018 GMT

但是用 s_client 从别处检查服务器总是返回

OCSP response: no response sent

即使在等待几分钟后,nginx 总是会抛出错误:

2018/04/09 12:59:06 [error] 9474#9474: OCSP_basic_verify() failed (SSL: error:27069065:OCSP routines:OCSP_basic_verify:certificate verify error:Verify error:unable to get issuer certificate) while requesting certificate status, responder: tm.symcd.com

服务器使用 SNI,因为它提供具有不同证书的多个站点。
有人知道我在这里缺少什么吗?

【问题讨论】:

    标签: nginx certificate sni ocsp


    【解决方案1】:

    在您的 openssl s_client 命令中,您应该通过添加 SNI 选项 (-servername) 重试: openssl s_client -connect <fqdn>:443 -servername <fqdn> -status -tlsextdebug -tls1_2 ...

    我遇到了同样的问题,并且对我有用。

    【讨论】:

      猜你喜欢
      • 1970-01-01
      • 1970-01-01
      • 1970-01-01
      • 1970-01-01
      • 2016-07-07
      • 2021-09-01
      • 1970-01-01
      • 1970-01-01
      • 1970-01-01
      相关资源
      最近更新 更多