Lua-resty-auto-ssl: OCSP 响应不成功(6:未授权)

创建于 2020-07-22  ·  8评论  ·  资料来源: auto-ssl/lua-resty-auto-ssl

在过去的几天里,我遇到了以下错误

[lua] ssl_certificate.lua:260: set_response_cert(): auto-ssl: failed to set ocsp stapling for **xxx** - continuing anyway - failed to get ocsp response: failed to validate OCSP response (http://ocsp.int-x3.letsencrypt.org): OCSP response not successful (6: unauthorized), context: ssl_certificate_by_lua*, client: 37.233.4.76, server: 0.0.0.0:443

看起来它是在证书过期时引起的,因此我们无法使用 OCSP 装订,但我不确定为什么它首先没有正确更新。

nginx version: openresty/1.17.8.2

   0.13.1-1 (installed) - /usr/local/lib/luarocks/rocks

lua-resty-http
   0.15-0 (installed) - /usr/local/lib/luarocks/rocks

现在我可以通过执行以下操作来解决

  1. 删除redis中的证书
  2. 删除本地副本(/etc/resty-auto-ssl/letsencrypt/certs)
  3. 重启 openresty

有没有人对可能出现的问题有任何指导?
或者,是否可以完全禁用 OCSP 装订?

编辑。
renew_check_interval也没有设置所以它应该有一天的默认值

picture ronaldgrn

最有用的评论

@phil118你可以看看下面的python 脚本https://gist.github.com/ronaldgrn/f1a99fde2f380c7d94233466aa88d8fd

它会在证书到期前 3 天删除证书。
作为预防措施,如果脚本在一次运行中检测到超过 25 个过期或接近过期的证书,它就会停止 - 您可能需要编辑它以满足您的需要。

picture ronaldgrn 于 2020-08-28
👍3 🎉1

所有8条评论

如果它对任何人有帮助,我最终只是编写了一个脚本,该脚本在证书到期前 3 天从 redis 中删除证书。

ronaldgrn picture ronaldgrn 于 2020-07-26

同样的问题在这里。 我不知道为什么有些域名续订失败而有些却没有。
无论如何,感谢@ronaldgrn的解决方案!

did picture did 于 2020-08-05

@ronaldgrn我遇到了类似的问题,只有几个域没有更新,这是非常奇怪的行为,因为它在去年一直运行良好。

想添加一个类似的脚本作为安全预防措施。 您介意解释/分享您的脚本如何在 Redis 中按日期删除证书吗?

非常感谢

phil118 picture phil118 于 2020-08-28

@phil118你可以看看下面的python 脚本https://gist.github.com/ronaldgrn/f1a99fde2f380c7d94233466aa88d8fd

它会在证书到期前 3 天删除证书。
作为预防措施,如果脚本在一次运行中检测到超过 25 个过期或接近过期的证书,它就会停止 - 您可能需要编辑它以满足您的需要。

ronaldgrn picture ronaldgrn 于 2020-08-28
👍3 🎉1

@ronaldgrn不错! 感谢那。 我是 Python 的完全新手,所以这非常有帮助。

phil118 picture phil118 于 2020-09-01

@ronaldgrn Thx 很多。 我也有同样的问题。 要解决此问题,只需在 python 3 中运行脚本并重新启动 openstrey。
我创建了一个项目来更新域。 与@ronaldgrn相同的想法,我尝试编写一个脚本 node.js,它可以重新启动 openresty 并一次更新到期域。

schedule.scheduleJob('5 0 * * *',{

  • 在 openresty 中创建一个端点以获取令牌(exp:/getSecret)
  • 从redis获取过期域名
  • 使用resty-auto-ssl/dehydrated用令牌更新域&& 添加一个标志 restartOpenresty
  • 如果标志然后重新启动服务器
    });
qfdk picture qfdk 于 2020-09-08

更新的问题可以通过https://github.com/auto-ssl/lua-resty-auto-ssl/issues/241#issuecomment -695777480解决

nunofernandes picture nunofernandes 于 2020-09-20

我还必须删除/etc/resty-auto-ssl/storage/file的文件才能使其正常工作。

sahildeliwala picture sahildeliwala 于 2021-01-03
此页面是否有帮助?
0 / 5 - 0 等级

相关问题

prionkor picture prionkor  ·  11评论
jmvbxx picture jmvbxx  ·  6评论
brendon picture brendon  ·  9评论
kshnurov picture kshnurov  ·  3评论
sahildeliwala picture sahildeliwala  ·  16评论