Nginx“ssl_stapling”被忽略，在 OCSP 响应程序“ocsp.comodoca.com”中找不到主机

Question

我正在尝试在 Nginx 上设置 OCSP 装订

我收到错误：

"ssl_stapling" ignored, host not found in OCSP responder "ocsp.comodoca.com"

这是文件 .conf

server {
    ssl_certificate /etc/nginx/myfile.crt;
    ssl_certificate_key /etc/nginx/myfile.key;

    ssl_stapling on;
    ssl_stapling_verify on;
    ssl_trusted_certificate /etc/nginx/myfile_trusted.crt;
    resolver 8.8.8.8 8.8.4.4 valid=300s;
    resolver_timeout 15s;
}

请提出具体的解决方案。

Answer 1

我刚刚在使用（以 root 身份运行）测试新的nginx配置时遇到了同样的问题；就我而言，错误消息是：nginx -t

\n\n

2014/11/15 01:38:43 [warn] 5114#0: "ssl_stapling" ignored, host not found in OCSP responder "ocsp.startssl.com/sub/class1/server/ca"\n

\n\n

然而，几秒钟后我再次进行了尝试，然后它就成功了。

\n\n

我的建议如下：

\n\n

\n
• 检查配置的解析器是否正在响应（但我相信您使用了 Google 公共 DNS，所以它们应该没问题）；
\n
• 尝试删除无关的选项（第二个解析器地址、valid=参数和resolver_timeout指令）；
\n
• 检查您的文件是否是PEM 格式ssl_trusted_certificate的根 CA 证书和中间证书的捆绑包（在我的例子中，我使用 附加 1 类中间服务器 CA 到根 CA ）。# cat ca.pem sub.class1.server.ca.pem > bundle_certs.pem
\n

\n\n

我刚刚注意到你的ssl_trusted_certificate文件以.crt. 我不确定这是否真的相关，但nginx 文档说（强调我的）：

\n\n

\n

语法： ssl_trusted_certificate 文件；
\n 默认值：\xe2\x80\x94
\n 上下文： http, server

\n\n

该指令出现在 1.3.7 版本中。

\n\n

指定具有PE​​M 格式的可信 CA 证书的文件，用于验证客户端证书和 OCSP 响应（如果启用了 ssl_stapling）。

\n

\n\n

所以你可能想先检查一下。

\n\n

如果它可以帮助我的 OCSP 配置是：

\n\n

# OCSP Stapling ---\n# fetch OCSP records from URL in ssl_certificate and cache them\n# see <http://nginx.org/en/docs/http/ngx_http_ssl_module.html#ssl_stapling>\nssl_stapling on;\nresolver 192.168.1.254;\nssl_stapling_verify on;\n# verify chain of trust of OCSP response using Root CA and Intermediate certs\nssl_trusted_certificate https/bundle_certs.pem;\n

\n\n

编辑：192.168.1.254是我的家庭路由器 LAN IP。每次我测试nginx配置时，我第一次都会遇到相同的错误，我猜解析器必须被初始化或类似的东西。

\n