Nginx SNI + OCSP装订不起作用

时间:2018-04-09 11:13:42

标签: nginx certificate sni ocsp

我最近尝试在我的一个nginx服务器上设置OCSP 不幸的是,我无法让它工作,到目前为止找不到解决方案。

配置如下所示:

ssl_certificate /etc/ssl/private/mysite.com/combined.pem;
ssl_certificate_key /etc/ssl/private/mysite.com/privkey.pem;
ssl_trusted_certificate /etc/ssl/private/mysite.com/fullchain.crt;

ssl_stapling on;
ssl_stapling_verify on;
resolver 8.8.8.8 valid=300s;
resolver_timeout 15s;

fullchain.crt包含服务器证书,中间证书和根证书。

如果我手动检查这些证书:

openssl ocsp -issuer intermediate.crt -CAfile fullchain.crt -cert cert.crt -url http://tm.symcd.com -no_nonce

它返回ok:

Response verify OK
cert.crt: good
    This Update: Apr  7 11:26:10 2018 GMT
    Next Update: Apr 14 11:26:10 2018 GMT

但是从其他地方用s_client检查服务器总是返回

OCSP response: no response sent

即使在等待几分钟后,nginx总是抛出错误:

2018/04/09 12:59:06 [error] 9474#9474: OCSP_basic_verify() failed (SSL: error:27069065:OCSP routines:OCSP_basic_verify:certificate verify error:Verify error:unable to get issuer certificate) while requesting certificate status, responder: tm.symcd.com

服务器使用SNI,因为它提供了多个具有不同证书的站点 有人知道我在这里缺少什么?

1 个答案:

答案 0 :(得分:0)

在openssl s_client命令中,您应该再次尝试添加SNI选项(-servername): openssl s_client -connect <fqdn>:443 -servername <fqdn> -status -tlsextdebug -tls1_2 ...

我有同样的问题,这对我有用。