Lua-resty-auto-ssl: استجابة OCSP غير ناجحة (6: غير مصرح بها)
خلال الأيام القليلة الماضية ، واجهت الخطأ التالي
[lua] ssl_certificate.lua:260: set_response_cert(): auto-ssl: failed to set ocsp stapling for **xxx** - continuing anyway - failed to get ocsp response: failed to validate OCSP response (http://ocsp.int-x3.letsencrypt.org): OCSP response not successful (6: unauthorized), context: ssl_certificate_by_lua*, client: 37.233.4.76, server: 0.0.0.0:443
يبدو أنه حدث عندما تنتهي صلاحية الشهادة ولذا لا يمكننا استخدام تدبيس OCSP لكنني لست متأكدًا من سبب عدم تجديدها بشكل صحيح في المقام الأول.
nginx version: openresty/1.17.8.2
0.13.1-1 (installed) - /usr/local/lib/luarocks/rocks
lua-resty-http
0.15-0 (installed) - /usr/local/lib/luarocks/rocks
في الوقت الحالي ، يمكنني حل المشكلة عن طريق القيام بما يلي
- حذف الشهادة في redis
- حذف النسخة المحلية (/ etc / resty-auto-ssl / Letsencrypt / certs)
- إعادة الصراحة
هل لدى أي شخص أي إرشادات حول ما يمكن أن يكون المشكلة؟
بدلاً من ذلك ، هل سيكون من الممكن تعطيل تدبيس OCSP تمامًا؟
يحرر.
لم يتم تعيين renew_check_interval أيضًا لذا يجب أن تكون القيمة الافتراضية ليوم واحد
ronaldgrn
ال 8 كومينتر
إذا كان ذلك مفيدًا لأي شخص ، فقد انتهيت من كتابة نص برمجي يحذف الشهادات من redis قبل 3 أيام من انتهاء صلاحيتها.
ronaldgrn
في ٢٦ يوليو ٢٠٢٠
نفس المشكلة هنا. لا أعرف لماذا فشلت بعض عمليات تجديد النطاقات والبعض الآخر لم يفعل ذلك.
على أي حال ، شكرًا ronaldgrn على الحل!
did
في ٥ أغسطس ٢٠٢٠
ronaldgrn أواجه مشكلة مماثلة مع عدد قليل فقط من المجالات التي لم يتم تجديدها ، وهو سلوك غريب للغاية لأنه كان يعمل بشكل مثالي خلال العام الماضي.
هل ترغب في إضافة نص مشابه كإجراء احترازي. هل تمانع في شرح / مشاركة كيفية حذف البرنامج النصي للشهادات حسب التاريخ في Redis؟
تشكرات
phil118
في ٢٨ أغسطس ٢٠٢٠
مرحبًا @ phil118 ، يمكنك التحقق من نص بايثون التالي https://gist.github.com/ronaldgrn/f1a99fde2f380c7d94233466aa88d8fd
يقوم بحذف الشهادات قبل 3 أيام من انتهاء صلاحيتها.
كإجراء احترازي ، يتوقف البرنامج النصي إذا اكتشف أكثر من 25 شهادة منتهية الصلاحية أو شبه منتهية الصلاحية في تشغيل واحد - قد ترغب في تعديل ذلك ليناسب احتياجاتك.
ronaldgrn
في ٢٨ أغسطس ٢٠٢٠
ronaldgrn لطيف! شكرا على ذلك. أنا مبتدئ تمامًا في لعبة بيثون ، لذا فهذا مفيد للغاية.
phil118
في ١ سبتمبر ٢٠٢٠
تضمين التغريدة لدي نفس المشكلة. لحل هذه المشكلة ، ما عليك سوى تشغيل البرنامج النصي في python 3 وإعادة تشغيل openstrey.
لقد قمت بإنشاء مشروع لتجديد المجال. نفس الفكرة مع ronaldgrn ، أحاول كتابة برنامج نصي node.js يمكنه إعادة تشغيل openresty وتجديد مجال انتهاء الصلاحية في وقت واحد.
Schedule.scheduleJob ('5 0 * * *'، {
- قم بإنشاء نقطة نهاية بصراحة للحصول على الرمز المميز (exp: / getSecret)
- الحصول على مجال انتهاء الصلاحية من redis
- استخدم
resty-auto-ssl/dehydratedلتجديد المجال مع الرمز المميز && إضافة علامة بدء التشغيل المفتوح - إذا علم ثم أعد تشغيل الخادم
}) ؛
qfdk
في ٨ سبتمبر ٢٠٢٠
يمكن حل مشكلة التجديد من خلال https://github.com/auto-ssl/lua-resty-auto-ssl/issues/241#issuecomment -695777480
nunofernandes
في ٢٠ سبتمبر ٢٠٢٠
اضطررت إلى حذف الملفات الموجودة في /etc/resty-auto-ssl/storage/file أيضًا لجعلها تعمل.
sahildeliwala
في ٣ يناير ٢٠٢١
القضايا ذات الصلة
stackrainbow
·
20تعليقات
ronaldgetz
·
10تعليقات
byrnedo
·
16تعليقات
discobean
·
8تعليقات
n11c
·
13تعليقات
التعليق الأكثر فائدة
مرحبًا @ phil118 ، يمكنك التحقق من نص بايثون التالي https://gist.github.com/ronaldgrn/f1a99fde2f380c7d94233466aa88d8fd
يقوم بحذف الشهادات قبل 3 أيام من انتهاء صلاحيتها.
كإجراء احترازي ، يتوقف البرنامج النصي إذا اكتشف أكثر من 25 شهادة منتهية الصلاحية أو شبه منتهية الصلاحية في تشغيل واحد - قد ترغب في تعديل ذلك ليناسب احتياجاتك.