忽略Nginx "ssl_stapling“,在OCSP响应程序"ocsp.comodoca.com”中找不到主机
忽略Nginx "ssl_stapling“,在OCSP响应程序"ocsp.comodoca.com”中找不到主机
提问于 2014-06-25 09:33:41
我想在Nginx上安装OCSP装订
我得到了错误:
"ssl_stapling" ignored, host not found in OCSP responder "ocsp.comodoca.com"这是文件.conf
server {
ssl_certificate /etc/nginx/myfile.crt;
ssl_certificate_key /etc/nginx/myfile.key;
ssl_stapling on;
ssl_stapling_verify on;
ssl_trusted_certificate /etc/nginx/myfile_trusted.crt;
resolver 8.8.8.8 8.8.4.4 valid=300s;
resolver_timeout 15s;
}请提出具体的解决方案。
回答 1
Stack Overflow用户
发布于 2014-11-15 01:27:52
在用nginx -t (run as root)测试新的nginx配置时,我刚刚遇到了同样的问题;在我的示例中,错误消息是:
2014/11/15 01:38:43 [warn] 5114#0: "ssl_stapling" ignored, host not found in OCSP responder "ocsp.startssl.com/sub/class1/server/ca"然而,几秒钟后,我第二次重新开始了我的试验,结果成功了。
我的建议如下:
- 检查配置的解析器是否响应(但我相信您使用了Google,因此它们应该没有问题);
- 尝试删除无关的选项(第二个解析器地址、
valid=参数和resolver_timeout指令); - 检查您的
ssl_trusted_certificate文件是根CA证书和中间证书的包,格式为(在我的示例中,我将类1中间服务器CA附加到带有# cat ca.pem sub.class1.server.ca.pem > bundle_certs.pem的根CA中)。
我刚刚注意到您的ssl_trusted_certificate文件以.crt结尾。我不确定这是否真的相关,但是nginx文档说 (强调我的):
语法:
ssl_trusted_certificate文件; 失责:- 上下文:http, server该指令出现在1.3.7版中。 指定具有可信CA证书的文件(格式为PEM格式),用于验证客户端证书和OCSP响应(如果启用ssl_stapling )。
所以你可能要先检查一下。
如果它可以帮助我的OCSP配置是:
# OCSP Stapling ---
# fetch OCSP records from URL in ssl_certificate and cache them
# see <http://nginx.org/en/docs/http/ngx_http_ssl_module.html#ssl_stapling>
ssl_stapling on;
resolver 192.168.1.254;
ssl_stapling_verify on;
# verify chain of trust of OCSP response using Root CA and Intermediate certs
ssl_trusted_certificate https/bundle_certs.pem;编辑:192.168.1.254是我的家庭路由器局域网IP。每次我测试nginx配置时,我第一次得到相同的错误,我猜解析器必须被初始化或者类似的东西。
页面原文内容由Stack Overflow提供。腾讯云小微IT领域专用引擎提供翻译支持
原文链接:
https://stackoverflow.com/questions/24405068
复制相关文章
相似问题
腾讯云开发者
