最近,我从Let's Encrypt获得了一个带有Must Staple扩展名的证书,要求将OCSP响应与证书一起发送。我正在使用kubernetes ingress-nginx(在Google Cloud上)控制器进行TLS。该证书在Chrome上运行良好(因为它不使用OCSP),但是在所有其他浏览器上都失败了,因为未在其中附加OCSP响应。我用于公共密钥的证书是Let's Encrypt中的完整证书链。我不确定为什么即使kubernetes支持OCSP,nginx也不附加OCSP响应。
答案 0 :(得分:1)
在这里看看:https://github.com/kubernetes/ingress-nginx/blob/master/cmd/nginx/flags.go#L133-L137
似乎您没有像预期的那样拥有完整的链,或者您缺少“ Authority Information Access” X.509 v3extension”。