In den letzten Tagen bin ich auf folgenden Fehler gestoßen
[lua] ssl_certificate.lua:260: set_response_cert(): auto-ssl: failed to set ocsp stapling for **xxx** - continuing anyway - failed to get ocsp response: failed to validate OCSP response (http://ocsp.int-x3.letsencrypt.org): OCSP response not successful (6: unauthorized), context: ssl_certificate_by_lua*, client: 37.233.4.76, server: 0.0.0.0:443
Es sieht so aus, als ob es durch das Ablaufen eines Zertifikats verursacht wird und wir daher das OCSP-Heften nicht verwenden können, aber ich bin mir nicht sicher, warum es überhaupt nicht ordnungsgemäß erneuert wird.
nginx version: openresty/1.17.8.2
0.13.1-1 (installed) - /usr/local/lib/luarocks/rocks
lua-resty-http
0.15-0 (installed) - /usr/local/lib/luarocks/rocks
Im Moment kann ich das Problem lösen, indem ich Folgendes tue
Hat jemand eine Anleitung, woran es liegen könnte?
Wäre es alternativ möglich, das OCSP-Heften vollständig zu deaktivieren?
Bearbeiten.
renew_check_interval
ist ebenfalls nicht gesetzt, sollte also den Standardwert von einem Tag haben
Wenn es jemandem hilft, habe ich nur ein Skript geschrieben, das Zertifikate 3 Tage vor ihrem Ablauf aus Redis löscht.
gleiches Problem hier. Ich weiß nicht, warum einige Domain-Erneuerungen fehlgeschlagen sind und andere nicht.
trotzdem danke @ronaldgrn für die Lösung!
@ronaldgrn Ich habe ein ähnliches Problem mit nur wenigen Domains, die sich nicht verlängern, ein sehr seltsames Verhalten, da es im letzten Jahr perfekt funktioniert hat.
Möchte als Sicherheitsvorkehrung ein ähnliches Skript hinzufügen. Würde es Ihnen etwas ausmachen, zu erklären/zu teilen, wie Ihr Skript die Zertifikate nach Datum in Redis löscht?
Danke vielmals
Hey @phil118, du kannst dir das folgende Python-Skript https://gist.github.com/ronaldgrn/f1a99fde2f380c7d94233466aa88d8fd
Es löscht Zertifikate 3 Tage bevor sie ablaufen.
Als Vorsichtsmaßnahme stoppt das Skript, wenn es in einem einzigen Lauf mehr als 25 abgelaufene oder fast abgelaufene Zertifikate erkennt. Sie können dies entsprechend Ihren Anforderungen bearbeiten.
@ronaldgrn nett! Dank dafür. Ich bin ein absoluter Anfänger bei Python, das ist super hilfreich.
@ronaldgrn Vielen Dank. Ich habe das gleiche Problem. Um dies zu lösen, führen Sie einfach Ihr Skript in Python 3 aus und starten Sie Openstrey neu.
Ich habe ein Projekt erstellt, um die Domain zu erneuern. Die gleiche Idee mit @ronaldgrn , ich versuche, ein Skript node.js zu schreiben, das openresty neu starten und die Ablaufdomäne gleichzeitig erneuern kann.
schedule.scheduleJob('5 0 * * *',{
resty-auto-ssl/dehydrated
um die Domain mit dem Token zu erneuern && füge ein Flag restartOpenresty hinzuDas Problem mit der Verlängerung kann mit https://github.com/auto-ssl/lua-resty-auto-ssl/issues/241#issuecomment -695777480 . gelöst werden
Ich musste auch die Dateien in /etc/resty-auto-ssl/storage/file
löschen, damit es funktioniert.
Hilfreichster Kommentar
Hey @phil118, du kannst dir das folgende Python-Skript https://gist.github.com/ronaldgrn/f1a99fde2f380c7d94233466aa88d8fd
Es löscht Zertifikate 3 Tage bevor sie ablaufen.
Als Vorsichtsmaßnahme stoppt das Skript, wenn es in einem einzigen Lauf mehr als 25 abgelaufene oder fast abgelaufene Zertifikate erkennt. Sie können dies entsprechend Ihren Anforderungen bearbeiten.