找不到Nginx OCSP_basic_verify:signer证书

Question

我在Nginx上设置OCSP装订时出错

OCSP_basic_verify() failed (SSL: error:27069076:OCSP routines:OCSP_basic_verify:signer certificate not found) while requesting certificate status, responder: ocsp.comodoca.com

这是nginx文件配置

server {
     ssl_certificate /etc/nginx/crtfile.crt;
     ssl_certificate_key /etc/nginx/keyfile.key;

     ssl_stapling on;
     ssl_stapling_verify on;
     ssl_trusted_certificate /etc/nginx/crttrusted.crt;
     resolver 8.8.8.8 8.8.4.4 valid=300s;
     resolver_timeout 15s;
}

请提出一个具体的解决方案。

Answer 1

你需要有一个CNAME才能实现它。它应该是什么样子的：

SPECIAL_KEY.your_domain.com名称SPECIAL_KEY.comodoca.com

直接从Comodo获取特殊密钥。

然后检查您的证书链，请注意连接顺序正确，详情请查看here。

Answer 2

对我来说，问题最终是中间证书没有正确设置-我需要将中间证书和普通证书连接到一个文件中，并在'ssl_ certificate‘下使用该文件。

例如，cat www.example.com.crt bundle.crt > www.example.com.chained.crt

如下所示：http://nginx.org/en/docs/http/configuring_https_servers.html#chains