Lua-resty-auto-ssl: Resposta OCSP sem sucesso (6: não autorizado)
Nos últimos dias, tenho encontrado o seguinte erro
[lua] ssl_certificate.lua:260: set_response_cert(): auto-ssl: failed to set ocsp stapling for **xxx** - continuing anyway - failed to get ocsp response: failed to validate OCSP response (http://ocsp.int-x3.letsencrypt.org): OCSP response not successful (6: unauthorized), context: ssl_certificate_by_lua*, client: 37.233.4.76, server: 0.0.0.0:443
Parece que é causado quando um certificado expira e, portanto, não podemos usar o grampeamento OCSP, mas não tenho certeza por que ele não é renovado corretamente.
nginx version: openresty/1.17.8.2
0.13.1-1 (installed) - /usr/local/lib/luarocks/rocks
lua-resty-http
0.15-0 (installed) - /usr/local/lib/luarocks/rocks
Por enquanto, posso resolver fazendo o seguinte
- Excluindo o cert no redis
- Excluindo a cópia local (/ etc / resty-auto-ssl / letsencrypt / certs)
- reinicie o openresty
Alguém tem alguma orientação sobre qual poderia ser o problema?
Como alternativa, seria possível desativar totalmente o grampeamento OCSP?
Editar.
renew_check_interval também não está definido, então deve ter o valor padrão de um dia
ronaldgrn
Todos 8 comentários
Se ajudar alguém, acabei escrevendo um script que exclui certificados do redis 3 dias antes de expirarem.
ronaldgrn
em 26 jul. 2020
mesmo problema aqui. Não sei por que algumas renovações de domínio falharam e outras não.
de qualquer forma, obrigado @ronaldgrn pela solução!
did
em 5 ago. 2020
@ronaldgrn Estou enfrentando um problema semelhante com apenas alguns domínios não renovados, é um comportamento muito estranho, pois tem funcionado perfeitamente no último ano.
Gostaria de adicionar um script semelhante como medida de segurança. Você se importaria de explicar / compartilhar como seu script exclui os certificados por data no Redis?
Muito obrigado
phil118
em 28 ago. 2020
Ei @ phil118 você pode verificar o seguinte script python https://gist.github.com/ronaldgrn/f1a99fde2f380c7d94233466aa88d8fd
Exclui certificados 3 dias antes de expirarem.
Como precaução, o script para se detectar mais de 25 certificados expirados ou quase expirados em uma única execução - você pode querer editar isso para atender às suas necessidades.
ronaldgrn
em 28 ago. 2020
@ronaldgrn, que legal! obrigado por isso. Eu sou um novato completo em python, então isso é super útil.
phil118
em 1 set. 2020
@ronaldgrn Muito
Eu criei um projeto para renovar o domínio. A mesma ideia com @ronaldgrn , tento escrever um script node.js que pode reiniciar o openresty e renovar o domínio de expiração de uma vez.
schedule.scheduleJob ('5 0 * * *', {
- crie um endpoint em openresty para obter o token (exp: / getSecret)
- obter domínio expirado do redis
- use
resty-auto-ssl/dehydratedpara renovar o domínio com o token && adicione um sinalizador restartOpenresty - se sinalizar, reinicie o servidor
});
qfdk
em 8 set. 2020
O problema com a renovação pode ser resolvido com https://github.com/auto-ssl/lua-resty-auto-ssl/issues/241#issuecomment -695777480
nunofernandes
em 20 set. 2020
Tive que deletar os arquivos em /etc/resty-auto-ssl/storage/file também para que funcionasse.
sahildeliwala
em 3 jan. 2021
Questões relacionadas
stackrainbow
·
20Comentários
n11c
·
13Comentários
jmvbxx
·
6Comentários
prionkor
·
11Comentários
kshnurov
·
3Comentários
Comentários muito úteis
Ei @ phil118 você pode verificar o seguinte script python https://gist.github.com/ronaldgrn/f1a99fde2f380c7d94233466aa88d8fd
Exclui certificados 3 dias antes de expirarem.
Como precaução, o script para se detectar mais de 25 certificados expirados ou quase expirados em uma única execução - você pode querer editar isso para atender às suas necessidades.