临时处理OCSP域名无法访问的问题

之前的文章有提到过OCSP,现在本站用的 SSL 证书换成了 Let's Encrypt ,近期由于众所周知的原因,国内无法直接访问 Let's Encrypt 的 OSCP 域名,导致出现了不能签发证书、OCSP Stapling 失败、网页打开慢等问题。

ocsp-stapling-cover.png

经检查目前是 ocsp.int-x3.letsencrypt.org 的 cname 域名 a771.dscq.akamai.net 受到了干扰,可以采用本地修改hosts的方案进行临时处理。

在/etc/hosts中添加

    23.32.3.72     ocsp.int-x3.letsencrypt.org

获取 OCSP 响应

    openssl ocsp -no_nonce \
                 -respout /path/to/certs/holmesian.org/ocsp_res.der \
                 -issuer /path/to/certs/holmesian.org/ca.cer \
                 -cert /path/to/certs/holmesian.org/holmesian.org.cer \
                 -url http://ocsp.int-x3.letsencrypt.org/ \
                 -header "HOST" "ocsp.int-x3.letsencrypt.org"

-cert 、 -issuer 、 -CAfile 分别对应的是子证书、中间证书、根证书,其实全部使用 acme.sh 文件夹中的 fullchain.cer 也是可以的。

-respout 是 OCSP 响应保存位置,将这个位置填入在 nginx 配置文件的 ssl_stapling_file 中,如下开启ssl_stapling。

这里如果出现如下错误的话,说明你的openssl使用了1.1.0版本,这个时候已经不需要指定HOST,把上面命令中的“-header "HOST" "ocsp.int-x3.letsencrypt.org"”删掉就好了。

Missing = in header key=value
ocsp: Use -help for summary.
    ssl_stapling on;
    ssl_stapling_verify on;
    ssl_stapling_file /root/.acme.sh/*.holmesian.org_ecc/ocsp_res.der;

重载nginx服务之后,检查是否成功开启。

    openssl s_client -connect holmesian.org:443 -status -tlsextdebug < /dev/null 2>&1 | grep -i "OCSP response"

1.PNG

最后将有关操作制成脚本,添加到 crontab 中自动更新。


「倘若有所帮助,不妨酌情赞赏!」

Holmesian

感谢您的支持!

使用微信扫描二维码完成支付


相关文章

发表新评论
已有 4 条评论
  1. 11

    112233测试

    11 回复
  2. sunny

    不是很明白,最近也遇到这个问题了
    nginx 上设置ssl_stapling 就可以解决的意思是吗?

    网站是对外服务的,改hosts 不现实

    sunny 回复
    1. Holmesian

      @sunny

      服务器上改 Hosts 之后就可以获取 OCSP 响应,然后将 OCSP 响应通过 nginx 的 ssl_stapling 功能打包发给客户端,客户端即使不能访问访问 Let's Encrypt 的 OSCP 域名也不会受到影响啦。

      Holmesian 回复
  3. 初夏阳光

    完美!看了一圈都是转发消息说 OSCP 不能用的,也没个解决方案。

    我猜一下马上就有很多雷同的文章了 2333

    初夏阳光 回复