有没有办法在每次重新加载或重新启动Nginx配置时主动生成OCSP 主食证书?或者,是否可以将 Nginx 设置为在重新加载或重新启动时保存装订的证书而不是丢弃它们?重新加载或重新启动 Nginx 似乎会清除所有缓存的 OCSP 装订证书。
我对 OSCP 装订进行了测试,并在运行 Nginx 1.11.4 并使用Certbot 的 OCSP Must-Staple TLS 功能扩展的 Ubuntu 16.04.1 服务器上工作。我的问题是,在重新加载或重新启动 Nginx 时,不会保存装订的响应,第一个访问者会看到一个错误页面(这是服务器尚未装订的“必须装订”证书的预期结果)。
我必须访问服务器托管的每个网站并重新加载它们几次,同时 Nginx 自动 OCSP 装订证书,然后一切重新开始工作,直到下一次重新启动。我想自动化这一步或完全避免它。
该文章解释了一种方法:\n https://matthiasadler.info/blog/ocsp-stapling-on-nginx-with-comodo-ssl/
\n\n这个想法是手动获取 OCSP 响应并使用 ssl_stapling_file 指令。
\n\nhttps://unmitigatedrisk.com/?p=241详细解释了:
\n\n\n\nURL=$(openssl x509 -in $SERVER_CER -text | grep \xe2\x80\x9cOCSP \xe2\x80\x93 URI:\xe2\x80\x9d | cut -d: -f2,3)
\n\nopenssl ocsp -noverify -no_nonce -respout ocsp.resp -issuer \\\n $ISSUER_CER -cert $SERVER_CER -url $URL
\n\n其中 \xe2\x80\x9cocsp.resp\xe2\x80\x9d 是您在 Nginx 中为 \xe2\x80\x9cssl_stapling_file\xe2\x80\x9c 配置的任何文件。
\n
| 归档时间: |
|
| 查看次数: |
2186 次 |
| 最近记录: |