在过去的几天里,我遇到了以下错误
[lua] ssl_certificate.lua:260: set_response_cert(): auto-ssl: failed to set ocsp stapling for **xxx** - continuing anyway - failed to get ocsp response: failed to validate OCSP response (http://ocsp.int-x3.letsencrypt.org): OCSP response not successful (6: unauthorized), context: ssl_certificate_by_lua*, client: 37.233.4.76, server: 0.0.0.0:443
看起来它是在证书过期时引起的,因此我们无法使用 OCSP 装订,但我不确定为什么它首先没有正确更新。
nginx version: openresty/1.17.8.2
0.13.1-1 (installed) - /usr/local/lib/luarocks/rocks
lua-resty-http
0.15-0 (installed) - /usr/local/lib/luarocks/rocks
现在我可以通过执行以下操作来解决
有没有人对可能出现的问题有任何指导?
或者,是否可以完全禁用 OCSP 装订?
编辑。
renew_check_interval
也没有设置所以它应该有一天的默认值
如果它对任何人有帮助,我最终只是编写了一个脚本,该脚本在证书到期前 3 天从 redis 中删除证书。
同样的问题在这里。 我不知道为什么有些域名续订失败而有些却没有。
无论如何,感谢@ronaldgrn的解决方案!
@ronaldgrn我遇到了类似的问题,只有几个域没有更新,这是非常奇怪的行为,因为它在去年一直运行良好。
想添加一个类似的脚本作为安全预防措施。 您介意解释/分享您的脚本如何在 Redis 中按日期删除证书吗?
非常感谢
嘿@phil118你可以看看下面的python 脚本https://gist.github.com/ronaldgrn/f1a99fde2f380c7d94233466aa88d8fd
它会在证书到期前 3 天删除证书。
作为预防措施,如果脚本在一次运行中检测到超过 25 个过期或接近过期的证书,它就会停止 - 您可能需要编辑它以满足您的需要。
@ronaldgrn不错! 感谢那。 我是 Python 的完全新手,所以这非常有帮助。
@ronaldgrn Thx 很多。 我也有同样的问题。 要解决此问题,只需在 python 3 中运行脚本并重新启动 openstrey。
我创建了一个项目来更新域。 与@ronaldgrn相同的想法,我尝试编写一个脚本 node.js,它可以重新启动 openresty 并一次更新到期域。
schedule.scheduleJob('5 0 * * *',{
resty-auto-ssl/dehydrated
用令牌更新域&& 添加一个标志 restartOpenresty更新的问题可以通过https://github.com/auto-ssl/lua-resty-auto-ssl/issues/241#issuecomment -695777480解决
我还必须删除/etc/resty-auto-ssl/storage/file
的文件才能使其正常工作。
最有用的评论
嘿@phil118你可以看看下面的python 脚本https://gist.github.com/ronaldgrn/f1a99fde2f380c7d94233466aa88d8fd
它会在证书到期前 3 天删除证书。
作为预防措施,如果脚本在一次运行中检测到超过 25 个过期或接近过期的证书,它就会停止 - 您可能需要编辑它以满足您的需要。