Durante los últimos días me he encontrado con el siguiente error
[lua] ssl_certificate.lua:260: set_response_cert(): auto-ssl: failed to set ocsp stapling for **xxx** - continuing anyway - failed to get ocsp response: failed to validate OCSP response (http://ocsp.int-x3.letsencrypt.org): OCSP response not successful (6: unauthorized), context: ssl_certificate_by_lua*, client: 37.233.4.76, server: 0.0.0.0:443
Parece que se debe a que un certificado vence y, por lo tanto, no podemos usar el engrapado OCSP, pero no estoy seguro de por qué no se renueva correctamente en primer lugar.
nginx version: openresty/1.17.8.2
0.13.1-1 (installed) - /usr/local/lib/luarocks/rocks
lua-resty-http
0.15-0 (installed) - /usr/local/lib/luarocks/rocks
Por ahora puedo resolver haciendo lo siguiente
¿Alguien tiene alguna orientación sobre cuál podría ser el problema?
Alternativamente, ¿sería posible deshabilitar el grapado OCSP por completo?
Editar.
renew_check_interval
tampoco está configurado, por lo que debería tener el valor predeterminado de un día
Si ayuda a alguien, terminé escribiendo un script que elimina los certificados de redis 3 días antes de que expiren.
mismo problema aquí. No sé por qué fallaron algunas renovaciones de dominio y otras no.
de todos modos, ¡gracias @ronaldgrn por la solución!
@ronaldgrn Estoy experimentando un problema similar con solo algunos dominios sin renovar, su comportamiento muy extraño ya que ha estado funcionando perfectamente durante el último año.
Me gustaría agregar una secuencia de comandos similar como medida de seguridad. ¿Le importaría explicar / compartir cómo su secuencia de comandos elimina los certificados por fecha en Redis?
Muchas gracias
Hola @ phil118 , puedes consultar el siguiente script de Python https://gist.github.com/ronaldgrn/f1a99fde2f380c7d94233466aa88d8fd
Elimina los certificados 3 días antes de que caduquen.
Como precaución, el script se detiene si detecta más de 25 certificados caducados o casi caducados en una sola ejecución; es posible que desee editarlo para que se adapte a sus necesidades.
@ronaldgrn ¡ bonito! gracias por eso. Soy un novato completo en Python, así que eso es muy útil.
@ronaldgrn Muchas
He creado un proyecto para renovar el dominio. La misma idea con @ronaldgrn , trato de escribir un script node.js que pueda reiniciar openresty y renovar el dominio de vencimiento a la vez.
schedule.scheduleJob ('5 0 * * *', {
resty-auto-ssl/dehydrated
para renovar el dominio con el token && agregar una bandera reiniciarOpenrestyEl problema con la renovación se puede resolver con https://github.com/auto-ssl/lua-resty-auto-ssl/issues/241#issuecomment -695777480
Tuve que eliminar los archivos en /etc/resty-auto-ssl/storage/file
también para que funcionara.
Comentario más útil
Hola @ phil118 , puedes consultar el siguiente script de Python https://gist.github.com/ronaldgrn/f1a99fde2f380c7d94233466aa88d8fd
Elimina los certificados 3 días antes de que caduquen.
Como precaución, el script se detiene si detecta más de 25 certificados caducados o casi caducados en una sola ejecución; es posible que desee editarlo para que se adapte a sus necesidades.