Lua-resty-auto-ssl: OCSP応答が成功しませんでした(6:無許可)

作成日 2020年07月22日  ·  8コメント  ·  ソース: auto-ssl/lua-resty-auto-ssl

過去数日間、次のエラーが発生しました

[lua] ssl_certificate.lua:260: set_response_cert(): auto-ssl: failed to set ocsp stapling for **xxx** - continuing anyway - failed to get ocsp response: failed to validate OCSP response (http://ocsp.int-x3.letsencrypt.org): OCSP response not successful (6: unauthorized), context: ssl_certificate_by_lua*, client: 37.233.4.76, server: 0.0.0.0:443

証明書の有効期限が切れてOCSPステープリングを使用できないことが原因のようですが、そもそもなぜ正しく更新されないのかわかりません。

nginx version: openresty/1.17.8.2

   0.13.1-1 (installed) - /usr/local/lib/luarocks/rocks

lua-resty-http
   0.15-0 (installed) - /usr/local/lib/luarocks/rocks

今のところ、私は次のことを行うことで解決することができます

  1. redisで証明書を削除する
  2. ローカルコピーの削除(/ etc / resty-auto-ssl / letsencrypt / certs)
  3. openrestyを再起動します

誰かが問題になる可能性のあるものについて何かガイダンスがありますか?
あるいは、OCSPステープリングを完全に無効にすることは可能でしょうか?

編集。
renew_check_intervalも設定されていないため、デフォルト値は1日である必要があります

picture ronaldgrn

最も参考になるコメント

ねえ@ phil118あなたは次のPythonスクリプトをチェックすることができますhttps://gist.github.com/ronaldgrn/f1a99fde2f380c7d94233466aa88d8fd

有効期限が切れる3日前に証明書を削除します。
予防措置として、1回の実行で25を超える期限切れまたは期限切れに近い証明書を検出すると、スクリプトは停止します。必要に応じて編集することをお勧めします。

picture ronaldgrn 2020年08月28日
👍3 🎉1

全てのコメント8件

それが誰かを助けるなら、私はそれらが期限切れになる3日前にredisから証明書を削除するスクリプトを書くことになりました。

ronaldgrn picture ronaldgrn 2020年07月26日

ここで同じ問題。 一部のドメイン更新が失敗した理由と失敗した理由がわかりません。
とにかく、解決策をありがとう@ronaldgrn

did picture did 2020年08月05日

@ronaldgrn Imは、更新されていないドメインがいくつかあるという同様の問題を経験しています。これは、昨年完全に機​​能していたため、非常に奇妙な動作です。

安全上の注意として、同様のスクリプトを追加したいと思います。 スクリプトがRedisで日付ごとに証明書を削除する方法を説明/共有していただけませんか?

どうもありがとう

phil118 picture phil118 2020年08月28日

ねえ@ phil118あなたは次のPythonスクリプトをチェックすることができますhttps://gist.github.com/ronaldgrn/f1a99fde2f380c7d94233466aa88d8fd

有効期限が切れる3日前に証明書を削除します。
予防措置として、1回の実行で25を超える期限切れまたは期限切れに近い証明書を検出すると、スクリプトは停止します。必要に応じて編集することをお勧めします。

ronaldgrn picture ronaldgrn 2020年08月28日
👍3 🎉1

@ronaldgrnいいね! それをありがとう。 Pythonの完全な初心者であるため、非常に役立ちます。

phil118 picture phil118 2020年09月01日

@ronaldgrnThxたくさん。 私は同じ問題を抱えています。 これを解決するには、Python 3でスクリプトを実行し、openstreyを再起動します。
ドメインを更新するためのプロジェクトを作成しました。 @ronaldgrnと同じ考えで、

schedule.scheduleJob( '5 0 * * *'、{

  • トークンを取得するためにopenrestyにエンドポイントを作成します(exp:/ getSecret)
  • redisから有効期限ドメインを取得する
  • resty-auto-ssl/dehydratedを使用して、トークンでドメインを更新し、&&フラグを追加しますrestartOpenresty
  • フラグの場合はサーバーを再起動します
    });
qfdk picture qfdk 2020年09月08日

更新に関する問題は、 https: //github.com/auto-ssl/lua-resty-auto-ssl/issues/241#issuecomment-695777480で解決される場合があり

nunofernandes picture nunofernandes 2020年09月20日

それを機能させるには、 /etc/resty-auto-ssl/storage/fileのファイルも削除する必要がありました。

sahildeliwala picture sahildeliwala 2021年01月03日
このページは役に立ちましたか?
0 / 5 - 0 評価

関連する問題

n11c picture n11c  ·  13コメント
byrnedo picture byrnedo  ·  16コメント
jasonbouffard picture jasonbouffard  ·  6コメント
jmvbxx picture jmvbxx  ·  6コメント
ronaldgetz picture ronaldgetz  ·  10コメント