Lua-resty-auto-ssl: Respuesta OCSP no exitosa (6: no autorizado)
Durante los últimos días me he encontrado con el siguiente error
[lua] ssl_certificate.lua:260: set_response_cert(): auto-ssl: failed to set ocsp stapling for **xxx** - continuing anyway - failed to get ocsp response: failed to validate OCSP response (http://ocsp.int-x3.letsencrypt.org): OCSP response not successful (6: unauthorized), context: ssl_certificate_by_lua*, client: 37.233.4.76, server: 0.0.0.0:443
Parece que se debe a que un certificado vence y, por lo tanto, no podemos usar el engrapado OCSP, pero no estoy seguro de por qué no se renueva correctamente en primer lugar.
nginx version: openresty/1.17.8.2
0.13.1-1 (installed) - /usr/local/lib/luarocks/rocks
lua-resty-http
0.15-0 (installed) - /usr/local/lib/luarocks/rocks
Por ahora puedo resolver haciendo lo siguiente
- Eliminando el certificado en redis
- Eliminando la copia local (/ etc / resty-auto-ssl / letsencrypt / certs)
- reiniciar openresty
¿Alguien tiene alguna orientación sobre cuál podría ser el problema?
Alternativamente, ¿sería posible deshabilitar el grapado OCSP por completo?
Editar.
renew_check_interval tampoco está configurado, por lo que debería tener el valor predeterminado de un día
ronaldgrn
Todos 8 comentarios
Si ayuda a alguien, terminé escribiendo un script que elimina los certificados de redis 3 días antes de que expiren.
ronaldgrn
en 26 jul. 2020
mismo problema aquí. No sé por qué fallaron algunas renovaciones de dominio y otras no.
de todos modos, ¡gracias @ronaldgrn por la solución!
did
en 5 ago. 2020
@ronaldgrn Estoy experimentando un problema similar con solo algunos dominios sin renovar, su comportamiento muy extraño ya que ha estado funcionando perfectamente durante el último año.
Me gustaría agregar una secuencia de comandos similar como medida de seguridad. ¿Le importaría explicar / compartir cómo su secuencia de comandos elimina los certificados por fecha en Redis?
Muchas gracias
phil118
en 28 ago. 2020
Hola @ phil118 , puedes consultar el siguiente script de Python https://gist.github.com/ronaldgrn/f1a99fde2f380c7d94233466aa88d8fd
Elimina los certificados 3 días antes de que caduquen.
Como precaución, el script se detiene si detecta más de 25 certificados caducados o casi caducados en una sola ejecución; es posible que desee editarlo para que se adapte a sus necesidades.
ronaldgrn
en 28 ago. 2020
@ronaldgrn ¡ bonito! gracias por eso. Soy un novato completo en Python, así que eso es muy útil.
phil118
en 1 sept. 2020
@ronaldgrn Muchas
He creado un proyecto para renovar el dominio. La misma idea con @ronaldgrn , trato de escribir un script node.js que pueda reiniciar openresty y renovar el dominio de vencimiento a la vez.
schedule.scheduleJob ('5 0 * * *', {
- cree un punto final en openresty para obtener el token (exp: / getSecret)
- obtener dominio de vencimiento de redis
- use
resty-auto-ssl/dehydratedpara renovar el dominio con el token && agregar una bandera reiniciarOpenresty - si marca, reinicie el servidor
});
qfdk
en 8 sept. 2020
El problema con la renovación se puede resolver con https://github.com/auto-ssl/lua-resty-auto-ssl/issues/241#issuecomment -695777480
nunofernandes
en 20 sept. 2020
Tuve que eliminar los archivos en /etc/resty-auto-ssl/storage/file también para que funcionara.
sahildeliwala
en 3 ene. 2021
Temas relacionados
brendon
·
9Comentarios
domharrington
·
7Comentarios
byrnedo
·
16Comentarios
kshnurov
·
3Comentarios
ronaldgetz
·
10Comentarios
Comentario más útil
Hola @ phil118 , puedes consultar el siguiente script de Python https://gist.github.com/ronaldgrn/f1a99fde2f380c7d94233466aa88d8fd
Elimina los certificados 3 días antes de que caduquen.
Como precaución, el script se detiene si detecta más de 25 certificados caducados o casi caducados en una sola ejecución; es posible que desee editarlo para que se adapte a sus necesidades.