Nginx letsencrypt OCSP stappling

前端之家收集整理的这篇文章主要介绍了Nginx letsencrypt OCSP stappling前端之家小编觉得挺不错的,现在分享给大家,也给大家做个参考。

我已经使用SSL和letsencrypt证书设置了Nginx.但是我无法让OCSP正常工作.

根据我在网络上发现的内容,它应该使用以下配置,但遗憾的是它没有.我的Nginx vhost看起来像这样:

server {

    ...

    # SSL Certificates
    ssl_certificate         /etc/letsencrypt/live/domain.com/fullchain.pem;
    ssl_certificate_key     /etc/letsencrypt/live/domain.com/privkey.pem;
    ssl_trusted_certificate /etc/letsencrypt/live/domain.com/fullchain.pem;

    # Allow Nginx to send OCSP results during the connection process
    ssl_stapling on;
    ssl_stapling_verify on;

    resolver $DNS-IP-1 $DNS-IP-2 valid=300s;
    resolver 8.8.8.8 8.8.4.4 valid=300s;
    resolver_timeout 10s;

    ...
}

当我使用https://www.ssllabs.com扫描我的域时,它会报告:

OCSP stapling   No

我的配置中缺少什么?

最佳答案
我没有看到您的设置有任何问题,但是删除冗余解析器指令可能会产生不同的结果.

我也遇到了类似的情况,我甚至使用基于this article的openssl测试了OCSP装订:

echo QUIT | openssl s_client -connect www.yourdomain.com:443 -servername www.yourdomain.com -status 2> /dev/null | grep -A 17 'OCSP response:' | grep -B 17 'Next Update'

没有输出意味着OCSP装订尚未运行.

根据我的观察,如果我重新启动/重新加载Nginx然后立即使用SSL实验室进行测试,则会失败.然后我会用上面的命令测试几次直到它工作,然后在SSL Labs上重新测试.我建议你试一试,如果它第一次失败,给它几分钟再试一次.这个对我有用.

猜你在找的Nginx相关文章