Nginx OCSP_basic_verify：未找到签名者证书答案

【问题标题】：Nginx OCSP_basic_verify:signer certificate not foundNginx OCSP_basic_verify：未找到签名者证书
【发布时间】：2014-08-17 06:31:11
【问题描述】：

我在 Nginx 上设置 OCSP 装订并得到错误

OCSP_basic_verify() failed (SSL: error:27069076:OCSP routines:OCSP_basic_verify:signer certificate not found) while requesting certificate status, responder: ocsp.comodoca.com

这是 nginx 文件配置

server {
     ssl_certificate /etc/nginx/crtfile.crt;
     ssl_certificate_key /etc/nginx/keyfile.key;

     ssl_stapling on;
     ssl_stapling_verify on;
     ssl_trusted_certificate /etc/nginx/crttrusted.crt;
     resolver 8.8.8.8 8.8.4.4 valid=300s;
     resolver_timeout 15s;
}

请提出具体的解决方案。

【问题讨论】：

这个问题似乎离题了，因为它与编程无关。请参阅帮助中心的What topics can I ask about here。也许Server Fault 或Webmaster Stack Exchange 会是一个更好的提问地点。
下面我的回答对你有帮助吗？

标签： ssl nginx openssl ssl-certificate

【解决方案1】：

对我来说，问题最终是没有正确设置中间证书 - 我需要将中间证书与普通证书连接到一个文件中，并在“ssl_certificate”下使用该文件。

例如猫www.example.com.crtbundle.crt > www.example.com.chained.crt

详见此处：http://nginx.org/en/docs/http/configuring_https_servers.html#chains

【讨论】：

【解决方案2】：

您需要有一个 CNAME 才能实现。它应该是什么样子：

SPECIAL_KEY.your_domain.com CNAME SPECIAL_KEY.comodoca.com

直接从 Comodo 获取特殊密钥。

然后检查您的证书链，请注意按正确顺序连接，详情请参阅here。

【讨论】：

我还不明白:|。这个问题在配置 nginx 中？访问trac.nginx.org/nginx/ticket/556。修改内容文件.crt，这样合适吗？
@mikhailov 我遇到了同样的问题。打电话给 Comodo 并提到了 CNAME，支持代表一无所知。你以前用 Comodo 做过吗？任何请求 SPECIAL_KEY 的 URL？
@Chris，尝试提及“使用 DNS CNAME 记录进行域验证”，这样可以更容易地向支持代表解释。 DNS 记录还可用于提供 OCSP 装订。
我切换到 AlphaSSL。我以前用过它，它只适用于 OCSP。 Comodo 给了我解决方案，但无法解决问题。