我可以在重新加载/重启时自动制作 Nginx OCSP 主食证书吗?

Tom*_*man 6 nginx ocsp

有没有办法在每次重新加载或重新启动Nginx配置时主动生成OCSP 主食证书?或者,是否可以将 Nginx 设置为在重新加载或重新启动时保存装订的证书而不是丢弃它们?重新加载或重新启动 Nginx 似乎会清除所有缓存的 OCSP 装订证书。

我对 OSCP 装订进行了测试,并在运行 Nginx 1.11.4 并使用Certbot 的 OCSP Must-Staple TLS 功能扩展的 Ubuntu 16.04.1 服务器上工作。我的问题是,在重新加载或重新启动 Nginx 时,不会保存装订的响应,第一个访问者会看到一个错误页面(这是服务器尚未装订的“必须装订”证书的预期结果)。

我必须访问服务器托管的每个网站并重新加载它们几次,同时 Nginx 自动 OCSP 装订证书,然后一切重新开始工作,直到下一次重新启动。我想自动化这一步或完全避免它。

Tom*_*Tom 4

该文章解释了一种方法:\n https://matthiasadler.info/blog/ocsp-stapling-on-nginx-with-comodo-ssl/

\n\n

这个想法是手动获取 OCSP 响应并使用 ssl_stapling_file 指令。

\n\n

https://unmitigatedrisk.com/?p=241详细解释了:

\n\n
\n

URL=$(openssl x509 -in $SERVER_CER -text | grep \xe2\x80\x9cOCSP \xe2\x80\x93 URI:\xe2\x80\x9d | cut -d: -f2,3)

\n\n

openssl ocsp -noverify -no_nonce -respout ocsp.resp -issuer \\\n $ISSUER_CER -cert $SERVER_CER -url $URL

\n\n

其中 \xe2\x80\x9cocsp.resp\xe2\x80\x9d 是您在 Nginx 中为 \xe2\x80\x9cssl_stapling_file\xe2\x80\x9c 配置的任何文件。

\n
\n