Nginx 启用 OCSP Stapling的配置
这里,我将介绍什么是 OCSP Stapling 以及为什么要开启它。
在线证书状态协议(Online Certificate Status Protocol),简称 OCSP,是一个用于获取 X.509 数字证书撤销状态的网际协议,在 RFC 6960 中定义。OCSP 用于检验证书合法性,查询服务一般由证书所属 CA 提供。OCSP 查询的本质,是一次完整的 HTTP 请求加响应的过程,这中间涵括的 DNS 查询、建立 TCP 连接、Web 端工作等步骤,都将耗费更多时间,使得建立 TLS 花费更多时长。
而这时,OCSP Stapling 出现了。经由 OCSP Stapling(OCSP 封套),Web 端将主动获取 OCSP 查询结果,并随证书一起发送给客户端,以此让客户端跳过自己去寻求验证的过程,提高 TLS 握手效率。
生成 OCSP Stapling 文件
经过以下步骤生成所需的用于 OCSP Stapling 验证的文件
首先,需要准备三份证书:
站点证书(website.pem)+ 根证书(root.pem)+ 中间证书(intermediate.pem)
中间证书和根证书,需要根据你的证书的 CA,去下载对应的证书
以下列出了 Let's Encrypt 的中间证书和根证书的下载地址:
根证书:
DST Root CA X3 https://ssl-tools.net/certificates/dac9024f54d8f6df94935fb1732638ca6ad77c13.pem
ISRG Root X1 https://letsencrypt.org/certs/isrgrootx1.pem
中间证书:
Let's Encrypt Authority X1 https://letsencrypt.org/certs/lets-encrypt-x1-cross-signed.pem
Let's Encrypt Authority X2 https://letsencrypt.org/certs/lets-encrypt-x2-cross-signed.pem
Let's Encrypt Authority X3 https://letsencrypt.org/certs/lets-encrypt-x3-cross-signed.pem
Let's Encrypt Authority X4 https://letsencrypt.org/certs/lets-encrypt-x4-cross-signed.pem
这里以 DST Root CA X3 根证书 + Let's Encrypt Authority X3 中间证书 为例(现在 Let's Encrypt 签发的证书基本都是这样的组合):
# 下载根证书和中间证书 wget -O root.pem https://ssl-tools.net/certificates/dac9024f54d8f6df94935fb1732638ca6ad77c13.pem wget -O intermediate.pem https://letsencrypt.org/certs/lets-encrypt-x3-cross-signed.pem # 生成 OCSP Stapling 验证文件 # 注意,中间证书在上、根证书在下 cat cat intermediate.pem > chained.pem cat root.pem >> chained.pem
这样,生成的 chained.pem 就是所需的 OCSP Stapling 验证文件。
OCSP Stapling Response
openssl x509 -in website.pem -noout -ocsp_uri
使用这个命令后,返回你的证书对应的 OCSP 服务地址
例如,Let's Encrypt 现在的 OCSP 服务地址是 http://ocsp.int-x3.letsencrypt.org/
以 Let's Encrypt 为例,获取站点证书的 OCSP Response
openssl ocsp -no_nonce \ -issuer intermediate.pem \ -CAfile chained.pem \ -VAfile chained.pem \ -cert website.pem \ -url http://ocsp.int-x3.letsencrypt.org \ -text
若没有错误,会返回如下:
Response verify OK
website.pem: good
This Update: Oct 24 00:00:41 2017 GMT
Next Update: Oct 31 00:00:41 2017 GMT
Nginx 启用 OCSP Stapling
ssl_stapling on; ssl_stapling_verify on; ssl_trusted_certificate ~/chained.pem; resolver 208.67.222.222 valid=300s; resolver_timeout 5s;
然后重启 Nginx,就成功启用 OCSP Stapling 了
OCSP Stapling Status
openssl s_client -connect sometimesnaive.org:443 -status -tlsextdebug < /dev/null 2>&1 | grep -i "OCSP response"
若站点已成功启用 OCSP Stapling,会返回以下
OCSP response: OCSP Response Data: OCSP Response Status: successful (0x0) Response Type: Basic OCSP Response
若返回这个,明显就是失败了
OCSP response: no response sent
也可以访问 ssllabs 进行 SSL 测试,其中也能看到 OCSP Stapling 开启与否的报告。
以上就是本文的全部内容,希望对大家的学习有所帮助,也希望大家多多支持小牛知识库。
-
本文向大家介绍在Nginx服务器中启用SSL的配置方法,包括了在Nginx服务器中启用SSL的配置方法的使用技巧和注意事项,需要的朋友参考一下 生成证书 可以通过以下步骤生成一个简单的证书: 首先,进入你想创建证书和私钥的目录,例如: 创建服务器私钥,命令会让你输入一个口令: 创建签名请求的证书(CSR): 在加载SSL支持的Nginx并使用上述私钥时除去必须的口令: 启用一个 SSL 虚拟主机
-
本文向大家介绍nginx 重新启动NGINX,包括了nginx 重新启动NGINX的使用技巧和注意事项,需要的朋友参考一下 示例 以root用户身份: Ubuntu的例子
-
配置 NGINX NGINX 相关的配置可以单独写一本书,不过一开始,我们不会用到太多的配置选项。这本书主要介绍搭建一个 LEMP 环境的流程,你可以在相关资源里找到扩展学习的课程与资料。 先去看一下 NGINX 配置文件所在地。 查看 NGINX 的配置: cd /etc/nginx ls 返回: conf.d koi-utf mime.types nginx.conf
-
本文向大家介绍CentOS6 配置Nginx,MySql,php-fpm开机启动的方法,包括了CentOS6 配置Nginx,MySql,php-fpm开机启动的方法的使用技巧和注意事项,需要的朋友参考一下 一. Nginx 开机启动 1、在/etc/init.d/目录下创建脚本 vim /etc/init.d/nginx 2、编写脚本内容 (将以下复制进去相应改动安装路径) 3、更改脚本权限 4
-
> 首先我使用了sudo apt-get install nginx 删除站点启用和站点可用中的默认文件 在站点中创建默认文件--在我有这些代码的地方可用(现在只尝试在端口3001中运行一个服务器)sudo vi默认服务器{listen 80; 位置/{proxy_pass“http://192.168.100.5:3001”;}} 上游项目{server http://localhost:300
-
我在将nginx配置为代理WebSockets时遇到了一些麻烦。我有一个Node.js应用程序,它使用Socket.io V0.9.16侦听端口9090上的连接,使用nginx V1.6.2侦听端口9000上的连接,并且(应该)配置为将请求代理到我的Node.js应用程序。nginx配置如下所示: 这可能是安全问题吗?浏览器是否以某种方式“知道”Socket.io在端口9090上运行,并拒绝通过9