NGINX NGINX Trac 3rd Party Modules Security Advisories CHANGES OpenResty ngx_lua Tengine 在线学习资源 NGINX 开发从入门到精通 NGINX Modules ngx_echo
已在定文件打 OCMP Stapling 也提示但有生效(使用 Comodo PositiveSSL )
akw2312 2015-04-04 01:45:40 +08:00 3650 次点击这是一个创建于 3922 天前的主题,其中的信息可能已经有所发展或是发生改变。
我的站ssnode.net 最近搞了positivessl 感@msg7086
在nginx的定面已打OCMP Stapling的相定 但在ssllab上面依然是有打的
有的定如下:
ssl_stapling on;
ssl_stapling_verify on;
ssl_trusted_certificate /etc/nginx/ssl/bundle.crt;
bundle.crt的容: http://pastebin.com/JAkk2ffb
已查多文章 也有找到哪置了
求解
在nginx的定面已打OCMP Stapling的相定 但在ssllab上面依然是有打的
有的定如下:
ssl_stapling on;
ssl_stapling_verify on;
ssl_trusted_certificate /etc/nginx/ssl/bundle.crt;
bundle.crt的容: http://pastebin.com/JAkk2ffb
已查多文章 也有找到哪置了
求解
11 条回复 2015-04-23 18:49:34 +08:00
 | 1 AstroProfundis 2015-04-04 01:54:08 +08:00 先从最简单也最傻的来,nginx reload 了么? |
 | 2 Quaintjade 2015-04-04 02:18:57 +08:00 把根证书也加进bundle.crt试试。 |
 | 3 Daniel65536 2015-04-04 02:49:14 +08:00 via iPhone 前几天配置成功了,一些经验:bundle.crt只能够放根证书和中间证书,不要放自己拿到的ssl证书,另外注意bundle.crt里两个证书的顺序问题,根证书在前面,顺序错误有影响。 最好加上resolver 8.8.4.4 8.8.8.8; |
 | 4 akw2312 OP |
| 5 akw2312 OP 因得也有三都放入但是一 |
| 6 AstroProfundis 2015-04-04 06:06:41 +08:00 @akw2312 把除了你自己域名证书以外的完整证书链都放进去试试,还有看下日志有没有什么 warning/error 的东西 |
| 7 Daniel65536 2015-04-04 19:44:08 +08:00 via iPhone 抽空看了下你的bundle,结论是你写错了。 首先,两个证书的顺序错了。 其次,其中一张证书不对。 把这里的证书复制下来放前面: https://support.comodo.com/index.php?/Knowledgebase/Article/View/969/0/root-comodo-rsa-certification-authority-sha-2 把这里的证书复制下来放后面: https://support.comodo.com/index.php?/Knowledgebase/Article/View/970/0/intermediate-2-sha-2-comodo-rsa-domain-validation-secure-server-ca |
| 8 Daniel65536 2015-04-04 19:55:01 +08:00 via iPhone  1 bundle只放上面提到的两个证书,顺序不能错,不要放其他证书。 你把comodo两个证书都当成中间证书了,comodo这两个证书上面是你的根证书,下面是中间证书,add trust那个证书用不着放。 看来我得找个时间写篇ocsp stapling的配置说明l …… |
| 9 akw2312 OP @Daniel65536 SSLLAB依然是"OCSP stapling No" Orz.. |
| 10 Daniel65536 2015-04-05 21:22:46 +08:00 @akw2312 看了一眼发现你的证书链也没配置正确啊…… 你看看https://www.ssllabs.com/ssltest/analyze.html?d=ssnode.net This server's certificate chain is incomplete. Grade capped to B. 这张证书的版本不对:COMODO RSA Domain Validation Secure Server CA 你用的版本Fingerprint: 104c63d2546b8021dd105e9fba5a8d78169f6b32 正确的版本Fingerprint: 339cdd57cfd5b141169b615ff31428782d1da639 正确的版本是这个: https://support.comodo.com/index.php?/Knowledgebase/Article/View/970/0/intermediate-2-sha-2-comodo-rsa-domain-validation-secure-server-ca 把证书链弄正确估计就好了。 另外nginx的ocsp stapling有bug,第一次测试常常会出现错误,第二次测试才会正确显示已经开启。 |
| 11 akw2312 OP |
Select Language