Hello! On Mon, Apr 01, 2019 at 06:15:41PM +0300, sergio wrote:
> On 01/04/2019 17:44, Maxim Dounin wrote: > > > либо обращений к OCSP-серверу нет > > обращения есть, я их вижу в query.log бинда, при старте энджинкса В query.log бинда невозможно увидеть обращения к OCSP-серверу. Максимум, что там можно увидеть - это резолвинг имени OCSP-сервера. На старте, как я уже писал, делается резолвинг имени с использованием системного резолвера. В процессе работы - при обращениях к OCSP-серверу резолвинг его имени делается с использованием DNS-сервера, заданного директивой resolver. > > либо resolver таки defined > > вне зависимости от того, закомментирована ли строчка > "resolver localhost;" в conf.d/ssl.conf или нет > > > > либо логов нужного уровня нет, либо вы неправильно в них смотрите > > логи есть, смотрю их правильно Давайте пойдём простым путём. Покажите вывод "nginx -V", "nginx -T" и debug log с обращением к OCSP-серверу. Подробнее о том, как получить debug log, тут: http://nginx.org/en/docs/debugging_log.html Отмечу на всякий случай, что обращение к OCSP-серверу в норме происходит в момент первого SSL handshake'а с расширением status_request, то есть при первом соединении через openssl s_client -connect <ip>:443 -status | grep OCSP и OCSP-ответа в этом соединении не будет. Если OCSP-ответ есть - значит, соединение не первое, и соответственно обращение к OCSP-серверу было раньше. > Судя про тому, что при отсутствии resolver используется localhost а не > IP OCSP, видимо есть какая-то умолчательная логика? Нет. -- Maxim Dounin http://mdounin.ru/ _______________________________________________ nginx-ru mailing list nginx-ru@nginx.org http://mailman.nginx.org/mailman/listinfo/nginx-ru