Nginx "ssl_stapling"被忽略，在 OCSP 响应程序 "ocsp.comodoca.com"中找不到主机

Question

我正在尝试在 Nginx 上设置 OCSP 装订

我收到错误:

"ssl_stapling" ignored, host not found in OCSP responder "ocsp.comodoca.com"

这是文件 .conf

server {
    ssl_certificate /etc/nginx/myfile.crt;
    ssl_certificate_key /etc/nginx/myfile.key;

    ssl_stapling on;
    ssl_stapling_verify on;
    ssl_trusted_certificate /etc/nginx/myfile_trusted.crt;
    resolver 8.8.8.8 8.8.4.4 valid=300s;
    resolver_timeout 15s;
}

请提出具体的解决方案。

Answer 1

我刚刚在使用 nginx -t(以 root 身份运行)测试新的 nginx 配置时遇到了同样的问题；就我而言，错误消息是:

2014/11/15 01:38:43 [warn] 5114#0: "ssl_stapling" ignored, host not found in OCSP responder "ocsp.startssl.com/sub/class1/server/ca"

但是，几秒钟后我再次续订了试用版，然后它就成功了。

我的建议如下:

• 检查配置的解析器是否正在响应(但我相信您使用了 Google 公共(public) DNS，所以它们应该没问题)；
• 尝试删除无关选项(第二个解析器地址、valid= 参数和 resolver_timeout 指令)；
• 检查您的ssl_trusted_certificate文件是否是PEM格式的根CA证书和中间证书的 bundle (在我的例子中，我将1级中间服务器CA附加到根 CA 为 # cat ca.pem sub.class1.server.ca.pem > bundle_certs.pem)。

我刚刚注意到您的 ssl_trusted_certificate 文件以 .crt 结尾。我不确定这是否真的相关，但是 nginx documentation says (强调我的):

Syntax: ssl_trusted_certificate file;
Default: —
Context: http, server

This directive appeared in version 1.3.7.

Specifies a file with trusted CA certificates in the PEM format used to verify client certificates and OCSP responses if ssl_stapling is enabled.

所以您可能需要先检查一下。

如果它可以帮助我的 OCSP 配置是:

# OCSP Stapling ---
# fetch OCSP records from URL in ssl_certificate and cache them
# see <http://nginx.org/en/docs/http/ngx_http_ssl_module.html#ssl_stapling>
ssl_stapling on;
resolver 192.168.1.254;
ssl_stapling_verify on;
# verify chain of trust of OCSP response using Root CA and Intermediate certs
ssl_trusted_certificate https/bundle_certs.pem;

编辑:192.168.1.254是我的家庭路由器LAN IP。每次我测试 nginx 配置时，我第一次都会遇到相同的错误，我猜解析器必须初始化或类似的东西。