已經在設定文件打開 OCMP Stapling 也無提示錯誤但卻沒有生效(使用 Comodo PositiveSSL 證書)

2015-04-04 01:45:40 +08:00
 akw2312
我的網站ssnode.net 最近搞了個positivessl證書 感謝@msg7086
在nginx的設定裡面已經打開OCMP Stapling的相關設定 但在ssllab上面檢測卻依然是沒有打開的
有關的設定如下:
ssl_stapling on;
ssl_stapling_verify on;
ssl_trusted_certificate /etc/nginx/ssl/bundle.crt;

bundle.crt的內容: http://pastebin.com/JAkk2ffb

已經查詢過許多文章 也沒有找到哪邊設置錯誤了

求解
3335 次点击
所在节点    NGINX
11 条回复
AstroProfundis
2015-04-04 01:54:08 +08:00
先从最简单也最傻的来,nginx reload 了么?
Quaintjade
2015-04-04 02:18:57 +08:00
把根证书也加进bundle.crt试试。
Daniel65536
2015-04-04 02:49:14 +08:00
前几天配置成功了,一些经验:bundle.crt只能够放根证书和中间证书,不要放自己拿到的ssl证书,另外注意bundle.crt里两个证书的顺序问题,根证书在前面,顺序错误有影响。

最好加上resolver 8.8.4.4 8.8.8.8;
akw2312
2015-04-04 03:13:10 +08:00
@AstroProfundis 肯定有啊- -
@Quaintjade 也試過把所有上級 中級 的證書都扔進去 還是一樣orz
@Daniel65536 comodo有兩個中間證書 也是一樣麼?
akw2312
2015-04-04 03:13:33 +08:00
因為記得也有試過三個都放入但還是一樣
AstroProfundis
2015-04-04 06:06:41 +08:00
@akw2312 把除了你自己域名证书以外的完整证书链都放进去试试,还有看下日志有没有什么 warning/error 的东西
Daniel65536
2015-04-04 19:44:08 +08:00
抽空看了下你的bundle,结论是你写错了。

首先,两个证书的顺序错了。
其次,其中一张证书不对。

把这里的证书复制下来放前面:
https://support.comodo.com/index.php?/Knowledgebase/Article/View/969/0/root-comodo-rsa-certification-authority-sha-2

把这里的证书复制下来放后面:
https://support.comodo.com/index.php?/Knowledgebase/Article/View/970/0/intermediate-2-sha-2-comodo-rsa-domain-validation-secure-server-ca
Daniel65536
2015-04-04 19:55:01 +08:00
bundle只放上面提到的两个证书,顺序不能错,不要放其他证书。
你把comodo两个证书都当成中间证书了,comodo这两个证书上面是你的根证书,下面是中间证书,add trust那个证书用不着放。

看来我得找个时间写篇ocsp stapling的配置说明l ……
akw2312
2015-04-05 20:26:19 +08:00
@Daniel65536 SSLLAB依然還是"OCSP stapling No" Orz..
Daniel65536
2015-04-05 21:22:46 +08:00
@akw2312
看了一眼发现你的证书链也没配置正确啊……
你看看https://www.ssllabs.com/ssltest/analyze.html?d=ssnode.net
This server's certificate chain is incomplete. Grade capped to B.

这张证书的版本不对:COMODO RSA Domain Validation Secure Server CA
你用的版本Fingerprint: 104c63d2546b8021dd105e9fba5a8d78169f6b32
正确的版本Fingerprint: 339cdd57cfd5b141169b615ff31428782d1da639

正确的版本是这个: https://support.comodo.com/index.php?/Knowledgebase/Article/View/970/0/intermediate-2-sha-2-comodo-rsa-domain-validation-secure-server-ca

把证书链弄正确估计就好了。

另外nginx的ocsp stapling有bug,第一次测试常常会出现错误,第二次测试才会正确显示已经开启。
akw2312
2015-04-23 18:49:34 +08:00
@Daniel65536
thanks.
現在SSLLAB上面沒問題了
不過有些人反應說安卓手機上打開提示SSL證書無效
但是看ssllab數據上面沒有問題啊...

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/181477

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX