nginx 证书报错 nginx: [warn] "ssl_stapling" ignored, issuer certificate not found for certificate处理
2023-09-27 14:21:31 时间
OCSP 则是一个在线查询接口,浏览器可以实时查询单个证书的合法性。在每个证书的详细信息中,都可以找到对应颁发机构的 CRL 和 OCSP 地址。
OCSP 的问题在于,某些客户端会在 TLS 握手阶段进一步协商时,实时查询 OCSP 接口,并在获得结果前阻塞后续流程,这对性能影响很大。而 OCSP Stapling(OCSP 封套),是指服务端在证书链中包含颁发机构对证书的 OCSP 查询结果,从而让浏览器跳过自己去验证的过程。服务端有更快的网络,获取 OCSP 响应更容易,也可以将 OCSP 响应缓存起来。OCSP 响应本身经过了数字签名,无法伪造,所以 OCSP Stapling 技术既提高了握手效率,也不会影响安全性。
启用 OCSP 的相关配置
ssl_trusted_certificate 选项应指向证书颁发结构的中间证书+根证书,而不是购买的ssl证书。
否则会报:"ssl_stapling" ignored, no OCSP responder URL in the certificate。
报错:报nginx: [warn] "ssl_stapling" ignored, issuer certificate not found for certificate "default.csr" 错误。
打开ssl_stapling on 和 ssl_stapling_verify on 的同时要带着 ssl_trusted_certificate 配置。
相关文章
- (HTTPS)-强制 SSL (HTTPS)Filter
- unable to connect to ssl://gateway.sandbox.push.apple.com:2195 错误
- 增强 nginx 的 SSL 安全性
- 免费ssl证书
- Nginx多个域名配置ssl证书出错解决方案
- 【转】聊聊HTTPS和SSL/TLS协议
- NET::ERR_SSL_OBSOLETE_VERSION
- Nginx SSL功能支持的一些资料。
- PSQLException: FATAL: no pg_hba.conf entry for host "127.0.0.1", user "ambari", database "ambari", SSL off
- 在已经安装的nginx上,增加ssl模块
- nginx使用ssl模块配置支持HTTPS访问【解决ssl错误】
- HttpClient_javax.net.ssl.SSLHandshakeException: sun.security.validator 问题解决,与环境有关
- 【Git 问题及解决方案】fatal: unable to access ‘https://github.com/xxx/yyy.git/‘: OpenSSL SSL_read: Con
- MQTT---HiveMQ源代码具体解释(七)Netty-SSL/NoSSL
- 使用XCA(X Certificate and key management)可视化项目经理SSL 凭证(4)--凭借自身的凭证管理中心的定义(Certificate Authority)签名证书申请
- sql server网络抓包工具 network monitor,sql server ssl