问题:
源服务器使用Cloudflare Origin CA证书后,Nginx在启用OCSP Stapling和OCSP响应验证时报错误:nginx: [warn] "ssl_stapling" ignored, issuer certificate not found for certificate "/path/to/cert.crt"
环境:
Ubuntu20.04+Nginx1.25.3
原因:
启用OCSP Stapling和OCSP响应验证需要有完整的CA根证书,而Cloudflare Origin CA证书默认不包含根证书,需要再下载Cloudflare Origin CA根证书方可正常启用OCSP Stapling和OCSP响应验证
解决:
-
下载Cloudflare Origin CA根证书,有两种格式:Cloudflare Origin RSA PEM或者Cloudflare Origin ECC PEM,选择对应的下载即可,这里假设将根证书下载到
/root/SSL/目录下 -
修改nginx.conf配置文件
# 切换到Nginx配置目录 cd /etc/nginx # 修改nginx.conf文件 vim nginx.conf修改
ssl_trusted_certificate配置项的值为根证书所在路径server { # ... ssl_trusted_certificate /root/SSL/origin_ca_rsa_root.pem; # 启用 OCSP Stapling 和 OCSP 响应验证 ssl_stapling on; ssl_stapling_verify on; # ... }保存退出后测试配置文件并重启Nginx
# 测试配置文件 nginx -t # 这里应该不会再报nginx: [warn] "ssl_stapling" ignored... # 重启Nginx systemctl restart nginx.serviceCloudflare Origin CA根证书要下载对应的,否则还是会报相同的错误,如果不知道应该下载哪个,就每个都试一下,不报错的那个就是需要的。
评论