![](/img/trans.png)
[英]Nginx “ssl_stapling” ignored, host not found in OCSP responder “ocsp.comodoca.com”
[英]nginx: [warn] "ssl_stapling" ignored, not supported
這是我第一次在 docker 和 nginx 中使用 certbot
- nginx 版本:1.23.1
- nginx 構建:docker (macbre/nginx-http3)
- OpenSSL 1.1.1(兼容;BoringSSL)(與 BoringSSL 一起運行)
nginx 嘗試使用 ocsp 穩定時拋出此錯誤
nginx: [warn] "ssl_stapling" ignored, not supported
證書似乎支持 ocsp
openssl x509 -in cert.pem -noout -ocsp_uri
# http://r3.o.lencr.org
nginx ssl 會議
# =============================================================================
# default Certificates
ssl_certificate /certs/dir/cert.pem;
ssl_certificate_key /certs/dir/key.pem;
# =============================================================================
ssl_dhparam /certs/dir/dhparam.pem;
# =============================================================================
# # OCSP staplingenter code here
ssl_stapling on;
ssl_stapling_verify on;
# # verify chain of trust of OCSP response using Root CA and Intermediate certs
ssl_trusted_certificate /certs/dir/chain.pem;
# # replace with the IP address of your resolver
resolver 1.1.1.1 8.8.8.8 8.8.4.4 valid=1200s;
resolver_timeout 3s;
# =============================================================================
# TLS
ssl_protocols TLSv1.3;
ssl_prefer_server_ciphers off;
# =============================================================================
# 0-RTT QUIC connection resumption
ssl_early_data on;
# =============================================================================
# https://ssl-config.mozilla.org/#server=nginx&version=1.17.9&config=intermediate&openssl=1.1.1d&guideline=5.4
# Optimize session cache
# ssl_session_timeout 1d;
ssl_session_timeout 4h;
# about 40000 sessions
ssl_session_cache shared:MozSSL:10m;
# Enable session tickets
ssl_session_tickets off;
那些沒有幫助:
- http://nginx.org/en/docs/http/ngx_http_ssl_module.html#ssl_stapling
- Nginx “ssl_stapling”被忽略,在 OCSP 響應者“ocsp.comodoca.com”中找不到主機
- https://www.openssl.org/docs/man1.1.1/man1/ocsp.html
- https://www.nginx.com/resources/wiki/start/topics/tutorials/installoptions等等
- nginx 代理不緩存 OCSP 響應
- Nginx OCSP_basic_verify:未找到簽署者證書
以及此列表中的許多內容: https://stackoverflow.com/search?q=nginx+ocsp
以前有沒有人遇到過這個問題?
或者誰能告訴我如何克服這個問題?
我想用 nginx 設置 ocsp
OpenSSL 1.1.1(兼容;BoringSSL)(與 BoringSSL 一起運行)
基於此討論,看起來不完全支持使用 BoringSSL 時的 OCSP 裝訂。 雖然有一個補丁可以將對 OCSP 裝訂的支持添加到 nginx,但它需要將 OCSP 響應作為文件提供,它無法從 nginx 中自動從 OCSP 響應器檢索它。 引用:
由於使用 BoringSSL 而不是 OpenSSL,某些指令可能不起作用,例如 ssl_conf_command。 此外,直接通過 ssl_stapling on 進行 OCSP 裝訂; ssl_stapling_verify 開啟; 也不行。 你應該使用 ssl_stapling; ssl_stapling_file /path/to/ocsp;. OCSP文件可以通過...生成
聲明:本站的技術帖子網頁,遵循CC BY-SA 4.0協議,如果您需要轉載,請注明本站網址或者原文地址。任何問題請咨詢:yoyou2525@163.com.