過去数日間、次のエラーが発生しました
[lua] ssl_certificate.lua:260: set_response_cert(): auto-ssl: failed to set ocsp stapling for **xxx** - continuing anyway - failed to get ocsp response: failed to validate OCSP response (http://ocsp.int-x3.letsencrypt.org): OCSP response not successful (6: unauthorized), context: ssl_certificate_by_lua*, client: 37.233.4.76, server: 0.0.0.0:443
証明書の有効期限が切れてOCSPステープリングを使用できないことが原因のようですが、そもそもなぜ正しく更新されないのかわかりません。
nginx version: openresty/1.17.8.2
0.13.1-1 (installed) - /usr/local/lib/luarocks/rocks
lua-resty-http
0.15-0 (installed) - /usr/local/lib/luarocks/rocks
今のところ、私は次のことを行うことで解決することができます
誰かが問題になる可能性のあるものについて何かガイダンスがありますか?
あるいは、OCSPステープリングを完全に無効にすることは可能でしょうか?
編集。
renew_check_interval
も設定されていないため、デフォルト値は1日である必要があります
それが誰かを助けるなら、私はそれらが期限切れになる3日前にredisから証明書を削除するスクリプトを書くことになりました。
ここで同じ問題。 一部のドメイン更新が失敗した理由と失敗した理由がわかりません。
とにかく、解決策をありがとう@ronaldgrn !
@ronaldgrn Imは、更新されていないドメインがいくつかあるという同様の問題を経験しています。これは、昨年完全に機能していたため、非常に奇妙な動作です。
安全上の注意として、同様のスクリプトを追加したいと思います。 スクリプトがRedisで日付ごとに証明書を削除する方法を説明/共有していただけませんか?
どうもありがとう
ねえ@ phil118あなたは次のPythonスクリプトをチェックすることができますhttps://gist.github.com/ronaldgrn/f1a99fde2f380c7d94233466aa88d8fd
有効期限が切れる3日前に証明書を削除します。
予防措置として、1回の実行で25を超える期限切れまたは期限切れに近い証明書を検出すると、スクリプトは停止します。必要に応じて編集することをお勧めします。
@ronaldgrnいいね! それをありがとう。 Pythonの完全な初心者であるため、非常に役立ちます。
@ronaldgrnThxたくさん。 私は同じ問題を抱えています。 これを解決するには、Python 3でスクリプトを実行し、openstreyを再起動します。
ドメインを更新するためのプロジェクトを作成しました。 @ronaldgrnと同じ考えで、
schedule.scheduleJob( '5 0 * * *'、{
resty-auto-ssl/dehydrated
を使用して、トークンでドメインを更新し、&&フラグを追加しますrestartOpenresty更新に関する問題は、 https: //github.com/auto-ssl/lua-resty-auto-ssl/issues/241#issuecomment-695777480で解決される場合があり
それを機能させるには、 /etc/resty-auto-ssl/storage/file
のファイルも削除する必要がありました。
最も参考になるコメント
ねえ@ phil118あなたは次のPythonスクリプトをチェックすることができますhttps://gist.github.com/ronaldgrn/f1a99fde2f380c7d94233466aa88d8fd
有効期限が切れる3日前に証明書を削除します。
予防措置として、1回の実行で25を超える期限切れまたは期限切れに近い証明書を検出すると、スクリプトは停止します。必要に応じて編集することをお勧めします。