技术解析

已經在設定文件打開 OCMP Stapling 也無提示錯誤但卻沒有生效(使用 Comodo PositiveSSL 證書)
0
2021-05-26 17:01:56
idczone
我的網站ssnode.net 最近搞了個positivessl證書 感謝@msg7086
在nginx的設定裡面已經打開OCMP Stapling的相關設定 但在ssllab上面檢測卻依然是沒有打開的
有關的設定如下:
ssl_stapling on;
ssl_stapling_veri美国服务器fy on;
ssl_trusted_certificate /etc/nginx/ssl/bundle.crt;

bundle.crt的內容: http://pastebin.com/JAkk2ffb

已經查詢過許多文章 也沒有找到哪邊設置錯誤了

求解
先从最简单也最傻的来,nginx reload 了么?

把根证书也加进bundle.crt试试。

前几天配置成功了,一些经验:bundle.crt只能够放根证书和中间证书,不要放自己拿到的ssl证书,另外注意bundle.crt里两个证书的顺序问题,根证书在前面,顺序错误有影响。
最好加上resolver 8.8.4.4 8.8.8.8;

肯定有啊- -
也試過把所有上級 中級 的證書都扔進去 還是一樣orz
comodo有兩個中間證書 也是一樣麼?

因為記得也有試過三個都放入但還是一樣

把除了你自己域名证书以外的完整证书链都放进去试试,还有看下日志有没有什么 warning/error 的东西

抽空看了下你的bundle,结论是你写错了。
首先,两个证书的顺序错了。
其次,其中一张证书不对。
把这里的证书复制下来放前面:
https://support.comodo.com/index.php?/Knowledgebase/Article/View/969/0/root-comodo-rsa-certification-authority-sha-2
把这里的证书复制下来放后面:
https://support.comodo.com/index.php?/Knowledgebase/Article/View/970/0/intermediate-2-sha-2-comodo-rsa-domain-validation-secure-server-ca

bundle只放上面提到的两个证书,顺序不能错,不要放其他证书。
你把comodo两个证书都当成中间证书了,comodo这两个证书上面是你的根证书,下面是中间证书,add trust那个证书用不着放。
看来我得找个时间写篇ocsp stapling的配置说明l ……

SSLLAB依然還是"OCSP stapling No" Orz..


看了一眼发现你的证书链也没配置正确啊……
你看看https://www.ssllabs.com/ssltest/analyze.html?d=ssnode.net
This server's certificate chain is incomplete. Grade capped to B.
这张证书的版本不对:COMODO RSA Domain Validation Secure Server CA
你用的版本Fingerprint: 104c63d2546b8021dd105e9fba5a8d78169f6b32
正确的版本Fingerprint: 339cdd57cfd5b141169b615ff31428782d1da639
正确的版本是这个: https://support.comodo.com/index.php?/Knowledgebase/Article/View/970/0/intermediate-2-sha-2-comodo-rsa-domain-validation-secure-server-ca
把证书链弄正确估计就好了。
另外nginx的ocsp stapling有bug,第一次测试常常会出现错误,第二次测试才会正确显示已经开启。


thanks.
現在SSLLAB上面沒問題了
不過有些人反應說安卓手機上打開提示SSL證書無效
但是看ssllab數據上面沒有問題啊...

数据地带为您的网站提供全球顶级IDC资源
在线咨询
专属客服