Nos últimos dias, tenho encontrado o seguinte erro
[lua] ssl_certificate.lua:260: set_response_cert(): auto-ssl: failed to set ocsp stapling for **xxx** - continuing anyway - failed to get ocsp response: failed to validate OCSP response (http://ocsp.int-x3.letsencrypt.org): OCSP response not successful (6: unauthorized), context: ssl_certificate_by_lua*, client: 37.233.4.76, server: 0.0.0.0:443
Parece que é causado quando um certificado expira e, portanto, não podemos usar o grampeamento OCSP, mas não tenho certeza por que ele não é renovado corretamente.
nginx version: openresty/1.17.8.2
0.13.1-1 (installed) - /usr/local/lib/luarocks/rocks
lua-resty-http
0.15-0 (installed) - /usr/local/lib/luarocks/rocks
Por enquanto, posso resolver fazendo o seguinte
Alguém tem alguma orientação sobre qual poderia ser o problema?
Como alternativa, seria possível desativar totalmente o grampeamento OCSP?
Editar.
renew_check_interval
também não está definido, então deve ter o valor padrão de um dia
Se ajudar alguém, acabei escrevendo um script que exclui certificados do redis 3 dias antes de expirarem.
mesmo problema aqui. Não sei por que algumas renovações de domínio falharam e outras não.
de qualquer forma, obrigado @ronaldgrn pela solução!
@ronaldgrn Estou enfrentando um problema semelhante com apenas alguns domínios não renovados, é um comportamento muito estranho, pois tem funcionado perfeitamente no último ano.
Gostaria de adicionar um script semelhante como medida de segurança. Você se importaria de explicar / compartilhar como seu script exclui os certificados por data no Redis?
Muito obrigado
Ei @ phil118 você pode verificar o seguinte script python https://gist.github.com/ronaldgrn/f1a99fde2f380c7d94233466aa88d8fd
Exclui certificados 3 dias antes de expirarem.
Como precaução, o script para se detectar mais de 25 certificados expirados ou quase expirados em uma única execução - você pode querer editar isso para atender às suas necessidades.
@ronaldgrn, que legal! obrigado por isso. Eu sou um novato completo em python, então isso é super útil.
@ronaldgrn Muito
Eu criei um projeto para renovar o domínio. A mesma ideia com @ronaldgrn , tento escrever um script node.js que pode reiniciar o openresty e renovar o domínio de expiração de uma vez.
schedule.scheduleJob ('5 0 * * *', {
resty-auto-ssl/dehydrated
para renovar o domínio com o token && adicione um sinalizador restartOpenrestyO problema com a renovação pode ser resolvido com https://github.com/auto-ssl/lua-resty-auto-ssl/issues/241#issuecomment -695777480
Tive que deletar os arquivos em /etc/resty-auto-ssl/storage/file
também para que funcionasse.
Comentários muito úteis
Ei @ phil118 você pode verificar o seguinte script python https://gist.github.com/ronaldgrn/f1a99fde2f380c7d94233466aa88d8fd
Exclui certificados 3 dias antes de expirarem.
Como precaução, o script para se detectar mais de 25 certificados expirados ou quase expirados em uma única execução - você pode querer editar isso para atender às suas necessidades.