Nginx letsencrypt OCSP stappling

前端之家收集整理的这篇文章主要介绍了Nginx letsencrypt OCSP stappling前端之家小编觉得挺不错的,现在分享给大家,也给大家做个参考。

我已经使用SSL和letsencrypt证书设置了Nginx.但是我无法让OCSP正常工作.

根据我在网络上发现的内容,它应该使用以下配置,但遗憾的是它没有.我的Nginx vhost看起来像这样:

@H_502_7@server { ... # SSL Certificates ssl_certificate /etc/letsencrypt/live/domain.com/fullchain.pem; ssl_certificate_key /etc/letsencrypt/live/domain.com/privkey.pem; ssl_trusted_certificate /etc/letsencrypt/live/domain.com/fullchain.pem; # Allow Nginx to send OCSP results during the connection process ssl_stapling on; ssl_stapling_verify on; resolver $DNS-IP-1 $DNS-IP-2 valid=300s; resolver 8.8.8.8 8.8.4.4 valid=300s; resolver_timeout 10s; ... }

当我使用https://www.ssllabs.com扫描我的域时,它会报告:

@H_502_7@OCSP stapling No

我的配置中缺少什么?

最佳答案
我没有看到您的设置有任何问题,但是删除冗余解析器指令可能会产生不同的结果.

我也遇到了类似的情况,我甚至使用基于this article的openssl测试了OCSP装订:

@H_502_7@echo QUIT | openssl s_client -connect www.yourdomain.com:443 -servername www.yourdomain.com -status 2> /dev/null | grep -A 17 'OCSP response:' | grep -B 17 'Next Update'

没有输出意味着OCSP装订尚未运行.

根据我的观察,如果我重新启动/重新加载Nginx然后立即使用SSL实验室进行测试,则会失败.然后我会用上面的命令测试几次直到它工作,然后在SSL Labs上重新测试.我建议你试一试,如果它第一次失败,给它几分钟再试一次.这个对我有用.

猜你在找的Nginx相关文章