Selama beberapa hari terakhir saya mengalami kesalahan berikut
[lua] ssl_certificate.lua:260: set_response_cert(): auto-ssl: failed to set ocsp stapling for **xxx** - continuing anyway - failed to get ocsp response: failed to validate OCSP response (http://ocsp.int-x3.letsencrypt.org): OCSP response not successful (6: unauthorized), context: ssl_certificate_by_lua*, client: 37.233.4.76, server: 0.0.0.0:443
Sepertinya itu disebabkan ketika sertifikat kedaluwarsa dan jadi kami tidak dapat menggunakan OCSP stapel tapi saya tidak yakin mengapa itu tidak diperbarui dengan benar sejak awal.
nginx version: openresty/1.17.8.2
0.13.1-1 (installed) - /usr/local/lib/luarocks/rocks
lua-resty-http
0.15-0 (installed) - /usr/local/lib/luarocks/rocks
Untuk saat ini saya dapat menyelesaikannya dengan melakukan hal berikut
Adakah yang punya panduan tentang apa yang bisa menjadi masalah?
Atau, apakah mungkin untuk menonaktifkan stapel OCSP sepenuhnya?
Sunting.
renew_check_interval
juga tidak disetel sehingga seharusnya memiliki nilai default satu hari
Jika itu membantu siapa pun, saya akhirnya hanya menulis skrip yang menghapus sertifikat dari redis 3 hari sebelum kedaluwarsa.
masalah yang sama di sini. Saya tidak tahu mengapa beberapa pembaruan domain gagal dan yang lainnya tidak.
anyway, terima kasih @ronaldgrn untuk solusinya!
@ronaldgrn Saya mengalami masalah serupa dengan hanya beberapa domain yang tidak diperbarui, perilakunya sangat aneh karena telah berfungsi dengan baik selama setahun terakhir.
Ingin menambahkan skrip serupa sebagai tindakan pencegahan keamanan. Maukah Anda menjelaskan/membagikan bagaimana skrip Anda menghapus sertifikat berdasarkan tanggal di Redis?
Terimakasih banyak
Hai @ phil118 Anda dapat melihat skrip python berikut https://Gist.github.com/ronaldgrn/f1a99fde2f380c7d94233466aa88d8fd
Ini menghapus sertifikat 3 hari sebelum kedaluwarsa.
Sebagai tindakan pencegahan, skrip berhenti jika mendeteksi lebih dari 25 sertifikat yang kedaluwarsa atau hampir kedaluwarsa dalam sekali proses - Anda mungkin ingin mengeditnya agar sesuai dengan kebutuhan Anda.
@ronaldgrn bagus! Terima kasih untuk itu. Saya seorang pemula yang lengkap di python jadi itu sangat membantu.
@ronaldgrn Terima kasih banyak. Saya memiliki masalah yang sama. untuk mengatasi ini, jalankan saja skrip Anda di python 3 dan mulai ulang openstrey.
Saya telah membuat proyek untuk memperbarui domain. Ide yang sama dengan @ronaldgrn , saya mencoba menulis skrip node.js yang dapat memulai ulang openresty dan memperbarui domain kedaluwarsa sekaligus.
schedule.scheduleJob('5 0 * * *',{
resty-auto-ssl/dehydrated
untuk memperbarui domain dengan token && tambahkan tanda restartOpenrestyMasalah dengan pembaruan dapat diselesaikan dengan https://github.com/auto-ssl/lua-resty-auto-ssl/issues/241#issuecomment -695777480
Saya harus menghapus file di /etc/resty-auto-ssl/storage/file
juga untuk membuatnya berfungsi.
Komentar yang paling membantu
Hai @ phil118 Anda dapat melihat skrip python berikut https://Gist.github.com/ronaldgrn/f1a99fde2f380c7d94233466aa88d8fd
Ini menghapus sertifikat 3 hari sebelum kedaluwarsa.
Sebagai tindakan pencegahan, skrip berhenti jika mendeteksi lebih dari 25 sertifikat yang kedaluwarsa atau hampir kedaluwarsa dalam sekali proses - Anda mungkin ingin mengeditnya agar sesuai dengan kebutuhan Anda.