Nginx-SNI+；OCSP装订不起作用_Nginx_Certificate_Sni_Ocsp

Nginx-SNI+；OCSP装订不起作用

nginx certificate

Nginx-SNI+；OCSP装订不起作用,nginx,certificate,sni,ocsp,Nginx,Certificate,Sni,Ocsp,我最近尝试在我的一台nginx服务器上设置OCSP。不幸的是，我无法让它工作，并没有找到一个解决方案，迄今为止配置如下所示： ssl_certificate /etc/ssl/private/mysite.com/combined.pem; ssl_certificate_key /etc/ssl/private/mysite.com/privkey.pem; ssl_trusted_certificate /etc/ssl/private/mysite.com/fullchain.crt;

我最近尝试在我的一台nginx服务器上设置OCSP。
不幸的是，我无法让它工作，并没有找到一个解决方案，迄今为止

配置如下所示：

ssl_certificate /etc/ssl/private/mysite.com/combined.pem;
ssl_certificate_key /etc/ssl/private/mysite.com/privkey.pem;
ssl_trusted_certificate /etc/ssl/private/mysite.com/fullchain.crt;

ssl_stapling on;
ssl_stapling_verify on;
resolver 8.8.8.8 valid=300s;
resolver_timeout 15s;

crt包含服务器证书、中间证书和根证书

如果我亲自检查这些证书：

openssl ocsp -issuer intermediate.crt -CAfile fullchain.crt -cert cert.crt -url http://tm.symcd.com -no_nonce

它返回ok：

Response verify OK
cert.crt: good
    This Update: Apr  7 11:26:10 2018 GMT
    Next Update: Apr 14 11:26:10 2018 GMT

但是从其他地方使用s_客户端检查服务器总是返回

OCSP response: no response sent

即使在等待几分钟后，nginx也总是抛出错误：

2018/04/09 12:59:06 [error] 9474#9474: OCSP_basic_verify() failed (SSL: error:27069065:OCSP routines:OCSP_basic_verify:certificate verify error:Verify error:unable to get issuer certificate) while requesting certificate status, responder: tm.symcd.com

服务器使用SNI，因为它提供具有不同证书的多个站点。

有人知道我缺少什么了吗？

在openssl s_客户端命令中，您应该通过添加SNI选项（-servername）重试：

openssl s_客户端-连接：443-servername-status-tlsextdebug-tls1_2…

我也有同样的问题