我最近尝试在我的一个nginx服务器上设置OCSP 不幸的是,我无法让它工作,到目前为止找不到解决方案。
配置如下所示:
ssl_certificate /etc/ssl/private/mysite.com/combined.pem;
ssl_certificate_key /etc/ssl/private/mysite.com/privkey.pem;
ssl_trusted_certificate /etc/ssl/private/mysite.com/fullchain.crt;
ssl_stapling on;
ssl_stapling_verify on;
resolver 8.8.8.8 valid=300s;
resolver_timeout 15s;
fullchain.crt包含服务器证书,中间证书和根证书。
如果我手动检查这些证书:
openssl ocsp -issuer intermediate.crt -CAfile fullchain.crt -cert cert.crt -url http://tm.symcd.com -no_nonce
它返回ok:
Response verify OK
cert.crt: good
This Update: Apr 7 11:26:10 2018 GMT
Next Update: Apr 14 11:26:10 2018 GMT
但是从其他地方用s_client检查服务器总是返回
OCSP response: no response sent
即使在等待几分钟后,nginx总是抛出错误:
2018/04/09 12:59:06 [error] 9474#9474: OCSP_basic_verify() failed (SSL: error:27069065:OCSP routines:OCSP_basic_verify:certificate verify error:Verify error:unable to get issuer certificate) while requesting certificate status, responder: tm.symcd.com
服务器使用SNI,因为它提供了多个具有不同证书的站点 有人知道我在这里缺少什么?
答案 0 :(得分:0)
在openssl s_client命令中,您应该再次尝试添加SNI选项(-servername):
openssl s_client -connect <fqdn>:443 -servername <fqdn> -status -tlsextdebug -tls1_2 ...
我有同样的问题,这对我有用。