Lua-resty-auto-ssl: OCSP-Antwort nicht erfolgreich (6: nicht autorisiert)
In den letzten Tagen bin ich auf folgenden Fehler gestoßen
[lua] ssl_certificate.lua:260: set_response_cert(): auto-ssl: failed to set ocsp stapling for **xxx** - continuing anyway - failed to get ocsp response: failed to validate OCSP response (http://ocsp.int-x3.letsencrypt.org): OCSP response not successful (6: unauthorized), context: ssl_certificate_by_lua*, client: 37.233.4.76, server: 0.0.0.0:443
Es sieht so aus, als ob es durch das Ablaufen eines Zertifikats verursacht wird und wir daher das OCSP-Heften nicht verwenden können, aber ich bin mir nicht sicher, warum es überhaupt nicht ordnungsgemäß erneuert wird.
nginx version: openresty/1.17.8.2
0.13.1-1 (installed) - /usr/local/lib/luarocks/rocks
lua-resty-http
0.15-0 (installed) - /usr/local/lib/luarocks/rocks
Im Moment kann ich das Problem lösen, indem ich Folgendes tue
- Löschen des Zertifikats in redis
- Löschen der lokalen Kopie (/etc/resty-auto-ssl/letsencrypt/certs)
- openresty neu starten
Hat jemand eine Anleitung, woran es liegen könnte?
Wäre es alternativ möglich, das OCSP-Heften vollständig zu deaktivieren?
Bearbeiten.
renew_check_interval ist ebenfalls nicht gesetzt, sollte also den Standardwert von einem Tag haben
ronaldgrn
Alle 8 Kommentare
Wenn es jemandem hilft, habe ich nur ein Skript geschrieben, das Zertifikate 3 Tage vor ihrem Ablauf aus Redis löscht.
ronaldgrn
am 26. Juli 2020
gleiches Problem hier. Ich weiß nicht, warum einige Domain-Erneuerungen fehlgeschlagen sind und andere nicht.
trotzdem danke @ronaldgrn für die Lösung!
did
am 5. Aug. 2020
@ronaldgrn Ich habe ein ähnliches Problem mit nur wenigen Domains, die sich nicht verlängern, ein sehr seltsames Verhalten, da es im letzten Jahr perfekt funktioniert hat.
Möchte als Sicherheitsvorkehrung ein ähnliches Skript hinzufügen. Würde es Ihnen etwas ausmachen, zu erklären/zu teilen, wie Ihr Skript die Zertifikate nach Datum in Redis löscht?
Danke vielmals
phil118
am 28. Aug. 2020
Hey @phil118, du kannst dir das folgende Python-Skript https://gist.github.com/ronaldgrn/f1a99fde2f380c7d94233466aa88d8fd
Es löscht Zertifikate 3 Tage bevor sie ablaufen.
Als Vorsichtsmaßnahme stoppt das Skript, wenn es in einem einzigen Lauf mehr als 25 abgelaufene oder fast abgelaufene Zertifikate erkennt. Sie können dies entsprechend Ihren Anforderungen bearbeiten.
ronaldgrn
am 28. Aug. 2020
@ronaldgrn nett! Dank dafür. Ich bin ein absoluter Anfänger bei Python, das ist super hilfreich.
phil118
am 1. Sept. 2020
@ronaldgrn Vielen Dank. Ich habe das gleiche Problem. Um dies zu lösen, führen Sie einfach Ihr Skript in Python 3 aus und starten Sie Openstrey neu.
Ich habe ein Projekt erstellt, um die Domain zu erneuern. Die gleiche Idee mit @ronaldgrn , ich versuche, ein Skript node.js zu schreiben, das openresty neu starten und die Ablaufdomäne gleichzeitig erneuern kann.
schedule.scheduleJob('5 0 * * *',{
- Erstellen Sie einen Endpunkt in Openresty, um das Token zu erhalten (exp: /getSecret )
- Ablauf-Domain von redis erhalten
- benutze
resty-auto-ssl/dehydratedum die Domain mit dem Token zu erneuern && füge ein Flag restartOpenresty hinzu - Wenn Flag, dann Server neu starten
});
qfdk
am 8. Sept. 2020
Das Problem mit der Verlängerung kann mit https://github.com/auto-ssl/lua-resty-auto-ssl/issues/241#issuecomment -695777480 . gelöst werden
nunofernandes
am 20. Sept. 2020
Ich musste auch die Dateien in /etc/resty-auto-ssl/storage/file löschen, damit es funktioniert.
sahildeliwala
am 3. Jan. 2021
Verwandte Themen
jasonbouffard
·
6Kommentare
brendon
·
9Kommentare
discobean
·
8Kommentare
ronaldgetz
·
10Kommentare
jmvbxx
·
6Kommentare
Hilfreichster Kommentar
Hey @phil118, du kannst dir das folgende Python-Skript https://gist.github.com/ronaldgrn/f1a99fde2f380c7d94233466aa88d8fd
Es löscht Zertifikate 3 Tage bevor sie ablaufen.
Als Vorsichtsmaßnahme stoppt das Skript, wenn es in einem einzigen Lauf mehr als 25 abgelaufene oder fast abgelaufene Zertifikate erkennt. Sie können dies entsprechend Ihren Anforderungen bearbeiten.