V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
NGINX
NGINX Trac
3rd Party Modules
Security Advisories
CHANGES
OpenResty
ngx_lua
Tengine
在线学习资源
NGINX 开发从入门到精通
NGINX Modules
ngx_echo
akw2312
V2EX  ›  NGINX

已經在設定文件打開 OCMP Stapling 也無提示錯誤但卻沒有生效(使用 Comodo PositiveSSL 證書)

  •  
  •   akw2312 · 2015-04-04 01:45:40 +08:00 · 3338 次点击
    这是一个创建于 3526 天前的主题,其中的信息可能已经有所发展或是发生改变。
    我的網站ssnode.net 最近搞了個positivessl證書 感謝@msg7086
    在nginx的設定裡面已經打開OCMP Stapling的相關設定 但在ssllab上面檢測卻依然是沒有打開的
    有關的設定如下:
    ssl_stapling on;
    ssl_stapling_verify on;
    ssl_trusted_certificate /etc/nginx/ssl/bundle.crt;

    bundle.crt的內容: http://pastebin.com/JAkk2ffb

    已經查詢過許多文章 也沒有找到哪邊設置錯誤了

    求解
    11 条回复    2015-04-23 18:49:34 +08:00
    AstroProfundis
        1
    AstroProfundis  
       2015-04-04 01:54:08 +08:00
    先从最简单也最傻的来,nginx reload 了么?
    Quaintjade
        2
    Quaintjade  
       2015-04-04 02:18:57 +08:00
    把根证书也加进bundle.crt试试。
    Daniel65536
        3
    Daniel65536  
       2015-04-04 02:49:14 +08:00 via iPhone
    前几天配置成功了,一些经验:bundle.crt只能够放根证书和中间证书,不要放自己拿到的ssl证书,另外注意bundle.crt里两个证书的顺序问题,根证书在前面,顺序错误有影响。

    最好加上resolver 8.8.4.4 8.8.8.8;
    akw2312
        4
    akw2312  
    OP
       2015-04-04 03:13:10 +08:00
    @AstroProfundis 肯定有啊- -
    @Quaintjade 也試過把所有上級 中級 的證書都扔進去 還是一樣orz
    @Daniel65536 comodo有兩個中間證書 也是一樣麼?
    akw2312
        5
    akw2312  
    OP
       2015-04-04 03:13:33 +08:00
    因為記得也有試過三個都放入但還是一樣
    AstroProfundis
        6
    AstroProfundis  
       2015-04-04 06:06:41 +08:00
    @akw2312 把除了你自己域名证书以外的完整证书链都放进去试试,还有看下日志有没有什么 warning/error 的东西
    Daniel65536
        7
    Daniel65536  
       2015-04-04 19:44:08 +08:00 via iPhone
    抽空看了下你的bundle,结论是你写错了。

    首先,两个证书的顺序错了。
    其次,其中一张证书不对。

    把这里的证书复制下来放前面:
    https://support.comodo.com/index.php?/Knowledgebase/Article/View/969/0/root-comodo-rsa-certification-authority-sha-2

    把这里的证书复制下来放后面:
    https://support.comodo.com/index.php?/Knowledgebase/Article/View/970/0/intermediate-2-sha-2-comodo-rsa-domain-validation-secure-server-ca
    Daniel65536
        8
    Daniel65536  
       2015-04-04 19:55:01 +08:00 via iPhone   ❤️ 1
    bundle只放上面提到的两个证书,顺序不能错,不要放其他证书。
    你把comodo两个证书都当成中间证书了,comodo这两个证书上面是你的根证书,下面是中间证书,add trust那个证书用不着放。

    看来我得找个时间写篇ocsp stapling的配置说明l ……
    akw2312
        9
    akw2312  
    OP
       2015-04-05 20:26:19 +08:00
    @Daniel65536 SSLLAB依然還是"OCSP stapling No" Orz..
    Daniel65536
        10
    Daniel65536  
       2015-04-05 21:22:46 +08:00
    @akw2312
    看了一眼发现你的证书链也没配置正确啊……
    你看看https://www.ssllabs.com/ssltest/analyze.html?d=ssnode.net
    This server's certificate chain is incomplete. Grade capped to B.

    这张证书的版本不对:COMODO RSA Domain Validation Secure Server CA
    你用的版本Fingerprint: 104c63d2546b8021dd105e9fba5a8d78169f6b32
    正确的版本Fingerprint: 339cdd57cfd5b141169b615ff31428782d1da639

    正确的版本是这个: https://support.comodo.com/index.php?/Knowledgebase/Article/View/970/0/intermediate-2-sha-2-comodo-rsa-domain-validation-secure-server-ca

    把证书链弄正确估计就好了。

    另外nginx的ocsp stapling有bug,第一次测试常常会出现错误,第二次测试才会正确显示已经开启。
    akw2312
        11
    akw2312  
    OP
       2015-04-23 18:49:34 +08:00
    @Daniel65536
    thanks.
    現在SSLLAB上面沒問題了
    不過有些人反應說安卓手機上打開提示SSL證書無效
    但是看ssllab數據上面沒有問題啊...
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   3395 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 22ms · UTC 11:46 · PVG 19:46 · LAX 03:46 · JFK 06:46
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.