Nginx-SNI+;OCSP装订不起作用
我最近尝试在我的一台nginx服务器上设置OCSP。Nginx-SNI+;OCSP装订不起作用,nginx,certificate,sni,ocsp,Nginx,Certificate,Sni,Ocsp,我最近尝试在我的一台nginx服务器上设置OCSP。 不幸的是,我无法让它工作,并没有找到一个解决方案,迄今为止 配置如下所示: ssl_certificate /etc/ssl/private/mysite.com/combined.pem; ssl_certificate_key /etc/ssl/private/mysite.com/privkey.pem; ssl_trusted_certificate /etc/ssl/private/mysite.com/fullchain.crt;
不幸的是,我无法让它工作,并没有找到一个解决方案,迄今为止 配置如下所示:
ssl_certificate /etc/ssl/private/mysite.com/combined.pem;
ssl_certificate_key /etc/ssl/private/mysite.com/privkey.pem;
ssl_trusted_certificate /etc/ssl/private/mysite.com/fullchain.crt;
ssl_stapling on;
ssl_stapling_verify on;
resolver 8.8.8.8 valid=300s;
resolver_timeout 15s;
crt包含服务器证书、中间证书和根证书
如果我亲自检查这些证书:
openssl ocsp -issuer intermediate.crt -CAfile fullchain.crt -cert cert.crt -url http://tm.symcd.com -no_nonce
它返回ok:
Response verify OK
cert.crt: good
This Update: Apr 7 11:26:10 2018 GMT
Next Update: Apr 14 11:26:10 2018 GMT
但是从其他地方使用s_客户端检查服务器总是返回
OCSP response: no response sent
即使在等待几分钟后,nginx也总是抛出错误:
2018/04/09 12:59:06 [error] 9474#9474: OCSP_basic_verify() failed (SSL: error:27069065:OCSP routines:OCSP_basic_verify:certificate verify error:Verify error:unable to get issuer certificate) while requesting certificate status, responder: tm.symcd.com
服务器使用SNI,因为它提供具有不同证书的多个站点。有人知道我缺少什么了吗?在openssl s_客户端命令中,您应该通过添加SNI选项(-servername)重试:
openssl s_客户端-连接:443-servername-status-tlsextdebug-tls1_2…
我也有同样的问题