我已经使用SSL和letsencrypt证书设置了Nginx.但是我无法让OCSP正常工作.
根据我在网络上发现的内容,它应该使用以下配置,但遗憾的是它没有.我的Nginx vhost看起来像这样:
server {
...
# SSL Certificates
ssl_certificate /etc/letsencrypt/live/domain.com/fullchain.pem;
ssl_certificate_key /etc/letsencrypt/live/domain.com/privkey.pem;
ssl_trusted_certificate /etc/letsencrypt/live/domain.com/fullchain.pem;
# Allow Nginx to send OCSP results during the connection process
ssl_stapling on;
ssl_stapling_verify on;
resolver $DNS-IP-1 $DNS-IP-2 valid=300s;
resolver 8.8.8.8 8.8.4.4 valid=300s;
resolver_timeout 10s;
...
}
当我使用https://www.ssllabs.com扫描我的域时,它会报告:
OCSP stapling No
我的配置中缺少什么?
最佳答案
我没有看到您的设置有任何问题,但是删除冗余解析器指令可能会产生不同的结果.
原文链接:https://www.f2er.com/nginx/435323.html我也遇到了类似的情况,我甚至使用基于this article的openssl测试了OCSP装订:
echo QUIT | openssl s_client -connect www.yourdomain.com:443 -servername www.yourdomain.com -status 2> /dev/null | grep -A 17 'OCSP response:' | grep -B 17 'Next Update'
没有输出意味着OCSP装订尚未运行.
根据我的观察,如果我重新启动/重新加载Nginx然后立即使用SSL实验室进行测试,则会失败.然后我会用上面的命令测试几次直到它工作,然后在SSL Labs上重新测试.我建议你试一试,如果它第一次失败,给它几分钟再试一次.这个对我有用.
