Lua-resty-auto-ssl: Échec de la réponse OCSP (6 : non autorisé)
Au cours des derniers jours, j'ai rencontré l'erreur suivante
[lua] ssl_certificate.lua:260: set_response_cert(): auto-ssl: failed to set ocsp stapling for **xxx** - continuing anyway - failed to get ocsp response: failed to validate OCSP response (http://ocsp.int-x3.letsencrypt.org): OCSP response not successful (6: unauthorized), context: ssl_certificate_by_lua*, client: 37.233.4.76, server: 0.0.0.0:443
Il semble que cela soit dû à l'expiration d'un certificat et nous ne pouvons donc pas utiliser l'agrafage OCSP, mais je ne sais pas pourquoi il n'est pas renouvelé correctement en premier lieu.
nginx version: openresty/1.17.8.2
0.13.1-1 (installed) - /usr/local/lib/luarocks/rocks
lua-resty-http
0.15-0 (installed) - /usr/local/lib/luarocks/rocks
Pour l'instant, je suis capable de résoudre en procédant comme suit
- Supprimer le cert dans redis
- Suppression de la copie locale (/etc/resty-auto-ssl/letsencrypt/certs)
- redémarrer openresty
Quelqu'un a-t-il des indications sur ce qui pourrait être le problème?
Sinon, serait-il possible de désactiver complètement l'agrafage OCSP ?
Éditer.
renew_check_interval n'est pas non plus défini, il devrait donc avoir la valeur par défaut d'un jour
ronaldgrn
Tous les 8 commentaires
Si cela aide quelqu'un, j'ai fini par écrire un script qui supprime les certificats de redis 3 jours avant leur expiration.
ronaldgrn
le 26 juil. 2020
même problème ici. Je ne sais pas pourquoi certains renouvellements de domaine ont échoué et d'autres non.
en tout cas, merci @ronaldgrn pour la solution !
did
le 5 août 2020
@ronaldgrn Je rencontre un problème similaire avec seulement quelques domaines qui ne se renouvellent pas, son comportement très étrange car il fonctionne parfaitement depuis l'année dernière.
J'aimerais ajouter un script similaire par mesure de sécurité. Pourriez-vous expliquer/partager comment votre script supprime les certificats par date dans Redis ?
Merci beaucoup
phil118
le 28 août 2020
Hé @ phil118, vous pouvez consulter le script python suivant https://gist.github.com/ronaldgrn/f1a99fde2f380c7d94233466aa88d8fd
Il supprime les certificats 3 jours avant leur expiration.
Par mesure de précaution, le script s'arrête s'il détecte plus de 25 certificats expirés ou presque expirés en une seule exécution - vous pouvez modifier cela en fonction de vos besoins.
ronaldgrn
le 28 août 2020
@ronaldgrn sympa ! Merci pour ça. Je suis un novice complet en python, donc c'est super utile.
phil118
le 1 sept. 2020
@ronaldgrn Merci beaucoup. J'ai le même problème. pour résoudre ce problème, exécutez simplement votre script en python 3 et redémarrez openstrey.
J'ai créé un projet de renouvellement du domaine. La même idée avec @ronaldgrn , j'essaie d'écrire un script node.js qui peut redémarrer openresty et renouveler le domaine d'expiration en même temps.
schedule.scheduleJob('5 0 * * *',{
- créer un point de terminaison dans openresty pour obtenir le jeton (exp: /getSecret )
- obtenir le domaine d'expiration de redis
- utilisez
resty-auto-ssl/dehydratedpour renouveler le domaine avec le jeton && ajouter un drapeau restartOpenresty - si drapeau alors redémarrer le serveur
});
qfdk
le 8 sept. 2020
Le problème avec le renouvellement peut être résolu avec https://github.com/auto-ssl/lua-resty-auto-ssl/issues/241#issuecomment -695777480
nunofernandes
le 20 sept. 2020
J'ai également dû supprimer les fichiers dans /etc/resty-auto-ssl/storage/file pour que cela fonctionne.
sahildeliwala
le 3 janv. 2021
Questions connexes
danDanV1
·
7Commentaires
brendon
·
9Commentaires
serathius
·
21Commentaires
prionkor
·
11Commentaires
domharrington
·
7Commentaires
Commentaire le plus utile
Hé @ phil118, vous pouvez consulter le script python suivant https://gist.github.com/ronaldgrn/f1a99fde2f380c7d94233466aa88d8fd
Il supprime les certificats 3 jours avant leur expiration.
Par mesure de précaution, le script s'arrête s'il détecte plus de 25 certificats expirés ou presque expirés en une seule exécution - vous pouvez modifier cela en fonction de vos besoins.