Lua-resty-auto-ssl: Respons OCSP tidak berhasil (6: tidak sah)
Selama beberapa hari terakhir saya mengalami kesalahan berikut
[lua] ssl_certificate.lua:260: set_response_cert(): auto-ssl: failed to set ocsp stapling for **xxx** - continuing anyway - failed to get ocsp response: failed to validate OCSP response (http://ocsp.int-x3.letsencrypt.org): OCSP response not successful (6: unauthorized), context: ssl_certificate_by_lua*, client: 37.233.4.76, server: 0.0.0.0:443
Sepertinya itu disebabkan ketika sertifikat kedaluwarsa dan jadi kami tidak dapat menggunakan OCSP stapel tapi saya tidak yakin mengapa itu tidak diperbarui dengan benar sejak awal.
nginx version: openresty/1.17.8.2
0.13.1-1 (installed) - /usr/local/lib/luarocks/rocks
lua-resty-http
0.15-0 (installed) - /usr/local/lib/luarocks/rocks
Untuk saat ini saya dapat menyelesaikannya dengan melakukan hal berikut
- Menghapus sertifikat di redis
- Menghapus salinan lokal (/etc/resty-auto-ssl/letsencrypt/certs)
- mulai ulang openresty
Adakah yang punya panduan tentang apa yang bisa menjadi masalah?
Atau, apakah mungkin untuk menonaktifkan stapel OCSP sepenuhnya?
Sunting.
renew_check_interval juga tidak disetel sehingga seharusnya memiliki nilai default satu hari
ronaldgrn
Semua 8 komentar
Jika itu membantu siapa pun, saya akhirnya hanya menulis skrip yang menghapus sertifikat dari redis 3 hari sebelum kedaluwarsa.
ronaldgrn
pada 26 Jul 2020
masalah yang sama di sini. Saya tidak tahu mengapa beberapa pembaruan domain gagal dan yang lainnya tidak.
anyway, terima kasih @ronaldgrn untuk solusinya!
did
pada 5 Agu 2020
@ronaldgrn Saya mengalami masalah serupa dengan hanya beberapa domain yang tidak diperbarui, perilakunya sangat aneh karena telah berfungsi dengan baik selama setahun terakhir.
Ingin menambahkan skrip serupa sebagai tindakan pencegahan keamanan. Maukah Anda menjelaskan/membagikan bagaimana skrip Anda menghapus sertifikat berdasarkan tanggal di Redis?
Terimakasih banyak
phil118
pada 28 Agu 2020
Hai @ phil118 Anda dapat melihat skrip python berikut https://Gist.github.com/ronaldgrn/f1a99fde2f380c7d94233466aa88d8fd
Ini menghapus sertifikat 3 hari sebelum kedaluwarsa.
Sebagai tindakan pencegahan, skrip berhenti jika mendeteksi lebih dari 25 sertifikat yang kedaluwarsa atau hampir kedaluwarsa dalam sekali proses - Anda mungkin ingin mengeditnya agar sesuai dengan kebutuhan Anda.
ronaldgrn
pada 28 Agu 2020
@ronaldgrn bagus! Terima kasih untuk itu. Saya seorang pemula yang lengkap di python jadi itu sangat membantu.
phil118
pada 1 Sep 2020
@ronaldgrn Terima kasih banyak. Saya memiliki masalah yang sama. untuk mengatasi ini, jalankan saja skrip Anda di python 3 dan mulai ulang openstrey.
Saya telah membuat proyek untuk memperbarui domain. Ide yang sama dengan @ronaldgrn , saya mencoba menulis skrip node.js yang dapat memulai ulang openresty dan memperbarui domain kedaluwarsa sekaligus.
schedule.scheduleJob('5 0 * * *',{
- buat titik akhir di openresty untuk mendapatkan token (exp: /getSecret )
- dapatkan domain kedaluwarsa dari redis
- gunakan
resty-auto-ssl/dehydrateduntuk memperbarui domain dengan token && tambahkan tanda restartOpenresty - jika bendera kemudian restart server
});
qfdk
pada 8 Sep 2020
Masalah dengan pembaruan dapat diselesaikan dengan https://github.com/auto-ssl/lua-resty-auto-ssl/issues/241#issuecomment -695777480
nunofernandes
pada 20 Sep 2020
Saya harus menghapus file di /etc/resty-auto-ssl/storage/file juga untuk membuatnya berfungsi.
sahildeliwala
pada 3 Jan 2021
Masalah terkait
n11c
·
13Komentar
ronaldgetz
·
10Komentar
stackrainbow
·
20Komentar
serathius
·
21Komentar
jmvbxx
·
6Komentar
Komentar yang paling membantu
Hai @ phil118 Anda dapat melihat skrip python berikut https://Gist.github.com/ronaldgrn/f1a99fde2f380c7d94233466aa88d8fd
Ini menghapus sertifikat 3 hari sebelum kedaluwarsa.
Sebagai tindakan pencegahan, skrip berhenti jika mendeteksi lebih dari 25 sertifikat yang kedaluwarsa atau hampir kedaluwarsa dalam sekali proses - Anda mungkin ingin mengeditnya agar sesuai dengan kebutuhan Anda.