nginx：[警告]“ssl_stapling”被忽略，不受支持

Question

這是我第一次在 docker 和 nginx 中使用 certbot

• nginx 版本：1.23.1
• nginx 構建：docker (macbre/nginx-http3)
• OpenSSL 1.1.1（兼容；BoringSSL）（與 BoringSSL 一起運行）

nginx 嘗試使用 ocsp 穩定時拋出此錯誤

nginx: [warn] "ssl_stapling" ignored, not supported

證書似乎支持 ocsp

openssl x509 -in cert.pem -noout -ocsp_uri
# http://r3.o.lencr.org

nginx ssl 會議

# =============================================================================
# default Certificates
ssl_certificate     /certs/dir/cert.pem;
ssl_certificate_key /certs/dir/key.pem;
# =============================================================================
ssl_dhparam         /certs/dir/dhparam.pem;

# =============================================================================
# # OCSP staplingenter code here
ssl_stapling            on;
ssl_stapling_verify     on;

# # verify chain of trust of OCSP response using Root CA and Intermediate certs
ssl_trusted_certificate /certs/dir/chain.pem;

# # replace with the IP address of your resolver
resolver            1.1.1.1 8.8.8.8 8.8.4.4 valid=1200s;
resolver_timeout    3s;

# =============================================================================
# TLS
ssl_protocols TLSv1.3;
ssl_prefer_server_ciphers off;

# =============================================================================
# 0-RTT QUIC connection resumption
ssl_early_data  on;

# =============================================================================
# https://ssl-config.mozilla.org/#server=nginx&version=1.17.9&config=intermediate&openssl=1.1.1d&guideline=5.4
# Optimize session cache
# ssl_session_timeout 1d;
ssl_session_timeout 4h;
# about 40000 sessions
ssl_session_cache shared:MozSSL:10m;

# Enable session tickets
ssl_session_tickets off;

那些沒有幫助：

• http://nginx.org/en/docs/http/ngx_http_ssl_module.html#ssl_stapling
• Nginx “ssl_stapling”被忽略，在 OCSP 響應者“ocsp.comodoca.com”中找不到主機
• https://www.openssl.org/docs/man1.1.1/man1/ocsp.html
• https://www.nginx.com/resources/wiki/start/topics/tutorials/installoptions等等
• nginx 代理不緩存 OCSP 響應
• Nginx OCSP_basic_verify：未找到簽署者證書

以及此列表中的許多內容： https://stackoverflow.com/search?q=nginx+ocsp

---

以前有沒有人遇到過這個問題？

或者誰能告訴我如何克服這個問題？

我想用 nginx 設置 ocsp

Answer 1

OpenSSL 1.1.1（兼容；BoringSSL）（與 BoringSSL 一起運行）

基於此討論，看起來不完全支持使用 BoringSSL 時的 OCSP 裝訂。 雖然有一個補丁可以將對 OCSP 裝訂的支持添加到 nginx，但它需要將 OCSP 響應作為文件提供，它無法從 nginx 中自動從 OCSP 響應器檢索它。 引用：

由於使用 BoringSSL 而不是 OpenSSL，某些指令可能不起作用，例如 ssl_conf_command。 此外，直接通過 ssl_stapling on 進行 OCSP 裝訂； ssl_stapling_verify 開啟； 也不行。 你應該使用 ssl_stapling； ssl_stapling_file /path/to/ocsp;. OCSP文件可以通過...生成