我的博客的域名证书将于本月11号(2024年03月11日)过期,于是我在5号的时候就重新签发了新的域名证书。
由于主用Edge浏览器或者说是Chromium系浏览器一直没有发现问题,这不今天突然发现在Firefox浏览器下会出现“MOZILLA_PKIX_ERROR_REQUIRED_TLS_FEATURE_MISSING”错误。
经过搜索了解到是OCSP导致的,其中给到两个解决办法。
其一就是禁用浏览器的检测,就是将security.ssl.enable_ocsp_must_staple设置为false,可是这样操作之适合我自个一个浏览器生效。
这不就只能在Nginx上面配置使其能够解决该问题了。于是在Nginx配置文件中增加
ssl_stapling on; ssl_stapling_verify on; resolver 223.5.5.5 223.6.6.6 119.29.29.29 119.28.28.28 valid=60s; resolver_timeout 2s;
重载/重启Nginx让配置文件生效后使用火狐浏览器访问已经没问题了。
由于当前使用的CDN不支持自己启用OCSP装订,只好工单进行配置后生效。
配置后明显的知道CDN节点不一样了。
这次出现这个问题是因为我在生成CSR时无意勾选了“OCSP必须装订”导致的,之前的历次申请我都没有配置该参数。都是因为第一次使用KeyManager生成CSR不熟悉相关的参数含义造成的。(其实是第二次使用,第一次是个把月前为邮局服务器申请的,但是当时没发现问题)
话说几年前我有打算配置OCSP但是没有成功来着?!
ChiuYut
2024年03月12日