- Содержание статьи
В данной статье пойдет речь об ошибке «OCSP_basic_verify() failed», которая возникает при работе nginx и о том, как эту ошибку можно исправить.
Описание
OCSP_basic_verify() failed (SSL: error:27069065:OCSP routines:OCSP_basic_verify:certificate verify error:Verify erro r:unable to get local issuer certificate) while requesting certificate status, responder: ocsp.startssl.com
Данная ошибка может появляться в том случае, когда в конфиге nginx указана настройка
ssl_stapling_verify on;Но не указан сертификат ssl_trusted_certificate
В итоге в конфиге должны быть такие строки:
ssl_stapling_verify on; ssl_trusted_certificate /etc/nginx/ssl/mycertname.crt;Где mycertname.crt — имя сертификата, составленного из intermediate cert + root cert
Получить его можно командой:
cat 1_Intermediate.crt root.crt > mycertname.crtПосле внесения изменений, перезагружаем nginx и проверяем, что ошибка исчезла. Проверить работу OCSP можно следующим запросом:
echo QUIT | openssl s_client -connect www.example.ru:443 -status 2> /dev/null | grep -A 17 'OCSP response:' | grep -B7 'Next Update'Где www.example.ru — имя вашего домена, который вы хотите проверить. Ответ должен быть примерно таким:
OCSP response: ====================================== OCSP Response Data: OCSP Response Status: successful (0x0) Response Type: Basic OCSP Response Version: 1 (0x0) Responder Id: C = IL, O = StartCom Ltd., OU = StartCom Certification Authority, CN = StartCom Class 1 DV Server CA OCSP Responder Produced At: Jun 15 10:30:35 2016 GMT ...Если после ввода команды вы получаете пустой ответ, значит OCSP не работает как следует и необходимо смотреть лог ошибок.
Добавить комментарий