Nginx 实现OCSP Stapling

什么是OCSP Stapling

OCSP的全称是Online Certificate Status Protocol,在线证书状态协议。它是一个用于检查证书状态的协议,客户端使用此协议来检查证书是否被撤销。而OCSP Stapling,是指服务端主动获取 OCSP 查询结果并随着握手协商时一起发送给客户端,从而让客户端免去自己验证的过程,提高 TLS 握手效率。

Web容器版本支持

Nginx version 1.3.7以上支持

Apache Server 2.3.3+ 以上支持

自动OCSP Stapling


server {
    listen 443 ssl;
    server_name www.xxx.cn;

    ssl_stapling on;
    ssl_stapling_verify on;
    resolver 8.8.8.8 8.8.4.4 valid=300s; #设置OCSP请求的DNS服务器地址
    resolver_timeout 5s;
    ssl_trusted_certificate ca.pem; #ca.pem为证书的中级CA证书

}

配置修改完成后,需要重启nginx服务规则才会生效。

手动开启OCSP Stapling

1,获取证书的OCSP地址

命令:openssl x509 -in server.pem -noout -ocsp_uri *server.pem为服务器证书公钥文件。

手动:双击打开.cer格式服务器证书-详细信息-颁发机构信息访问/授权信息访问-联机证书状态协议中的http链接地址:http://ocsp2.globalsign.com/gsorganizationvalsha2g2

2,制作stapling.ocsp文件

openssl ocsp -CAfile root.pem -issuer ca.pem -cert server.pem -url   http://ocsp2.globalsign.com/gsorganizationvalsha2g2 -text -respout ./stapling.ocsp -header "HOST" "ocsp2.globalsign.com"

其中root.pem为中级CA证书和*根证书,ca.pem为中级CA证书,server.pem为服务器证书。
注:stapling.ocsp具备生命周期,需每次在update到期之前更新,建议可以编辑自动化任务脚本进行更新。

3、在Nginx.conf添加如下内容到https站点配置中

server {
    listen 443 ssl;
    server_name www.xxxx.cn;

    ssl_stapling on;
    ssl_stapling_verify on;
    resolver 8.8.8.8 8.8.4.4 valid=300s;
    resolver_timeout 5s;
    ssl_stapling_file /etc/nginx/cert/stapling.ocsp;
    ssl_trusted_certificate ca.pem;
   }

4、验证OCSP Stapling 状态

openssl s_client -connect  youdomino.com:443 -tlsextdebug –status

已开启

`OCSP response:
OCSP Response Data:
OCSP Response Status: successful (0x0) Response Type: Basic OCSP Response
……`

未开启

OCSP response: no response sent

上一篇:Google 的Android Splash


下一篇:记录来敦煌一周的情况