godaddy证书开启OCSP
前言
nginx下godaddy开启ocsp比较麻烦,特此记录
准备工作
打开godaddy获取证书链证书
或用windows电脑打开证书文件-证书路径,点选上游证书-查看证书-复制到文件,获取证书链证书
1 | 生成stapling_ocsp文件 |
nginx配置
打开/etc/nginx/sites-enabled/内配置文件,添加以下内容
1 | ssl_stapling on; |
重启nginx后打开myssl.com测试ocsp是否打开
nginx下godaddy开启ocsp比较麻烦,特此记录
打开godaddy获取证书链证书
或用windows电脑打开证书文件-证书路径,点选上游证书-查看证书-复制到文件,获取证书链证书
1 | 生成stapling_ocsp文件 |
打开/etc/nginx/sites-enabled/内配置文件,添加以下内容
1 | ssl_stapling on; |
重启nginx后打开myssl.com测试ocsp是否打开
最近在Azure上购买了godaddy狗爹的通配符证书,Azure的Key Vault默认仅提供pfs格式,需要使用openssl命令转换为nginx可用的crt文件和key文件。
1 | openssl pkcs12 -in pfx证书.pfx -clcerts -nokeys -out 证书名.crt |
提示Enter Import Password: 没设直接回车即可。
1 | openssl s_server -www -accept 443 -cert 证书名.crt -key 密钥名.rsa |
打开证书链补全工具上传证书就行,千万别传key,获取补全证书链后的证书文件,避免某些场景下证书不可信,如果不想通过在线工具补全证书链,也可以找证书商获取,或者用windows打开自己的证书文件,找到中间证书导出后合并到证书文件内。
1 | vim /etc/sudoers //编辑 |
再次使用sudo命令无需输入密码即可运行
没事开服务器看日志,发现进程被干掉了orz
1 | Squid Parent: squid-1 process 518 exited due to signal 9 with status 0 |
google检索了一下解决方案记录一下,oom killer是Linux内核的一个内存回收机制,在内存不足的情况下会kill掉内存占用较大的进程,oom killer会综合内存消耗量、cpu时间,存活时间对每个进程打分,根据内存消耗越多分越高,存活时间越长分越低,枪打出头鸟,优先kill掉分数高的进程,而解决业务进程被kill掉的方法除了扩大内存配置,增加swap,还可以通过修改进程的分数到负数,避免被oom干掉,或者把oom关掉。
Hello World!ヽ(✿゚▽゚)ノ