Nginx 启用 OCSP Stapling的配置

这里,我将介绍什么是 OCSP Stapling 以及为什么要开启它。

在线证书状态协议(Online Certificate Status Protocol),简称 OCSP,是一个用于获取 X.509 数字证书撤销状态的网际协议,在 RFC 6960 中定义。OCSP 用于检验证书合法性,查询服务一般由证书所属 CA 提供。OCSP 查询的本质,是一次完整的 HTTP 请求加响应的过程,这中间涵括的 DNS 查询、建立 TCP 连接、Web 端工作等步骤,都将耗费更多时间,使得建立 TLS 花费更多时长。

而这时,OCSP Stapling 出现了。经由 OCSP Stapling(OCSP 封套),Web 端将主动获取 OCSP 查询结果,并随证书一起发送给客户端,以此让客户端跳过自己去寻求验证的过程,提高 TLS 握手效率。

生成 OCSP Stapling 文件

经过以下步骤生成所需的用于 OCSP Stapling 验证的文件

首先,需要准备三份证书:

站点证书(website.pem)+ 根证书(root.pem)+ 中间证书(intermediate.pem)

中间证书和根证书,需要根据你的证书的 CA,去下载对应的证书

以下列出了 Let's Encrypt 的中间证书和根证书的下载地址:

根证书:
DST Root CA X3 https://ssl-tools.net/certificates/dac9024f54d8f6df94935fb1732638ca6ad77c13.pem
ISRG Root X1 https://letsencrypt.org/certs/isrgrootx1.pem

中间证书:
Let's Encrypt Authority X1 https://letsencrypt.org/certs/lets-encrypt-x1-cross-signed.pem
Let's Encrypt Authority X2 https://letsencrypt.org/certs/lets-encrypt-x2-cross-signed.pem
Let's Encrypt Authority X3 https://letsencrypt.org/certs/lets-encrypt-x3-cross-signed.pem
Let's Encrypt Authority X4 https://letsencrypt.org/certs/lets-encrypt-x4-cross-signed.pem

这里以 DST Root CA X3 根证书 + Let's Encrypt Authority X3 中间证书 为例(现在 Let's Encrypt 签发的证书基本都是这样的组合):

# 下载根证书和中间证书
wget -O root.pem https://ssl-tools.net/certificates/dac9024f54d8f6df94935fb1732638ca6ad77c13.pem
wget -O intermediate.pem https://letsencrypt.org/certs/lets-encrypt-x3-cross-signed.pem

# 生成 OCSP Stapling 验证文件
# 注意,中间证书在上、根证书在下
cat cat intermediate.pem > chained.pem
cat root.pem >> chained.pem

这样,生成的 chained.pem 就是所需的 OCSP Stapling 验证文件。

OCSP Stapling Response

openssl x509 -in website.pem -noout -ocsp_uri

使用这个命令后,返回你的证书对应的 OCSP 服务地址

例如,Let's Encrypt 现在的 OCSP 服务地址是 http://ocsp.int-x3.letsencrypt.org/

以 Let's Encrypt 为例,获取站点证书的 OCSP Response

openssl ocsp -no_nonce \
  -issuer intermediate.pem \
  -CAfile chained.pem \
  -VAfile chained.pem \
  -cert website.pem \
  -url http://ocsp.int-x3.letsencrypt.org \
  -text

若没有错误,会返回如下:

Response verify OK
website.pem: good
This Update: Oct 24 00:00:41 2017 GMT
Next Update: Oct 31 00:00:41 2017 GMT

Nginx 启用 OCSP Stapling

ssl_stapling on;
ssl_stapling_verify on;
ssl_trusted_certificate ~/chained.pem;
resolver 208.67.222.222 valid=300s;
resolver_timeout 5s;

然后重启 Nginx,就成功启用 OCSP Stapling 了

OCSP Stapling Status

代码如下:

openssl s_client -connect sometimesnaive.org:443 -status -tlsextdebug < /dev/null 2>&1 | grep -i "OCSP response"

若站点已成功启用 OCSP Stapling,会返回以下

OCSP response:
OCSP Response Data:
  OCSP Response Status: successful (0x0)
  Response Type: Basic OCSP Response

若返回这个,明显就是失败了

OCSP response: no response sent

也可以访问 ssllabs 进行 SSL 测试,其中也能看到 OCSP Stapling 开启与否的报告。

以上就是本文的全部内容,希望对大家的学习有所帮助,也希望大家多多支持我们。

(0)

相关推荐

  • Nginx 启用 OCSP Stapling的配置

    这里,我将介绍什么是 OCSP Stapling 以及为什么要开启它. 在线证书状态协议(Online Certificate Status Protocol),简称 OCSP,是一个用于获取 X.509 数字证书撤销状态的网际协议,在 RFC 6960 中定义.OCSP 用于检验证书合法性,查询服务一般由证书所属 CA 提供.OCSP 查询的本质,是一次完整的 HTTP 请求加响应的过程,这中间涵括的 DNS 查询.建立 TCP 连接.Web 端工作等步骤,都将耗费更多时间,使得建立 TLS

  • 详解Nginx SSL快速双向认证配置(脚本)

    目前遇到一个项目有安全性要求,要求只有个别用户有权限访问.本着能用配置解决就绝不用代码解决的原则,在Nginx上做一下限制和修改即可. 这种需求其实实现方式很多,经过综合评估考虑,觉得SSL双向认证方案对用户使用最简单,遂决定用此方案. 注: 本方案在Ubuntu Server 16.04 LTS实施,其他操作系统请酌情修改 SSL双向认证 绝大多数SSL应用都以单向认证为主,即客户端只要信任服务端,就可以使用服务端的公钥加密后向服务端发起请求,由服务端的私钥解密之后获得请求数据. 如果这个过程

  • 使用AWS的ELB服务时为Nginx启用代理协议的步骤讲解

    在使用aws云服务的时候,90%要使用ELB服务作为负载均衡的解决方案,使用ELB要比自己搭建负载均衡要方便得多. 主要好处有: 1.可以随时监控实例的健康状态; 2.当服务器不正常时,ELB的报警策略将自动发送邮件通知运维人员 3.当服务器负载到达阈值时,通过auto scanning将自动加入新的服务器到集群中,同时负载降下去后将自动关闭多余的实例 4.ELB的各项监控指标较好地帮助判断服务器性能 AWS ELB nginx 启用代理协议 要使用aws elb服务器来做websocket负载

  • 详解nginx服务器中的安全配置

    本篇文章详细的讲诉了nginx服务器中的安全配置,具体如下: 一.关闭SELinux 安全增强型Linux(SELinux)的是一个Linux内核的功能,它提供支持访问控制的安全政策保护机制. 但是,SELinux带来的附加安全性和使用复杂性上不成比例,性价比不高 sed -i /SELINUX=enforcing/SELINUX=disabled/ /etc/selinux/config /usr/sbin/sestatus -v #查看状态 二.通过分区挂载允许最少特权 服务器上 nginx

  • Nginx启用GZIP压缩网页传输方法(推荐)

    原理: 浏览器-请求--> 声明可以接受 gzip压缩 或 deflate压缩 或compress 或 sdch压缩 从http协议的角度看–请求头 声明 acceopt-encoding: gzip deflate sdch (是指压缩算法,其中sdch是google倡导的一种压缩方式,目前支持的服务器尚不多) 服务器–>回应-把内容用gzip方式压缩-->发给浏览器 浏览<-–解码gzip-–接收gzip压缩内容-- gzip配置的常用参数 参数 含义 gzip on/off

  • Nginx启用压缩及开启gzip 压缩的方法

    在nginx.conf文件的http模块新增以下内容 gzip             on; gzip_min_length  10k;  # 设置允许压缩的页面最小字节数 gzip_comp_level  6; gzip_vary        on; gzip_types       text/plain text/css application/javascript application/json application/xml text/xml image/png image/gif

  • Linux 系统 nginx 服务器安装及负载均衡配置详解

    nginx(engine x) 是一个 高性能 的 HTTP 和 反向代理 服务器.邮件代理服务器以及通用的 TCP/UDP 代理服务器.其特点为轻量级(占用系统资源少).稳定性好.可扩展性(模块化结构).并发能力强.配置简单等. 本文主要介绍在测试环境中通过 nginx 实现基本的 负载均衡 功能. nginx 可以提供 HTTP 服务,包括处理静态文件,支持 SSL 和 TLS SNI.GZIP 网页压缩.虚拟主机.URL 重写等功能,可以搭配 FastCGI.uwsgi 等程序处理动态请求

  • Nginx启用gzip压缩的方法示例

    在服务器完成了一些配置以后,还需要做的一件事:启用gzip来压缩返回的数据,从而来加快网站的加载速度. 以下为在Nginx上启用gzip的相关配置(将其添加到配置文件即可): # 开启gzip gzip on; # 启用gzip压缩的最小文件,小于设置值的文件将不会压缩 gzip_min_length 1k; # gzip 压缩级别,1-10,数字越大压缩的越好,也越占用CPU时间. gzip_comp_level 2; # 进行压缩的文件类型. gzip_types text/plain te

  • Nginx启用Brotli算法压缩的示例

    Brotli 是 Google 开发的一种压缩格式,它通过内置分析大量网页得出的字典,实现了更高的压缩比率,同时几乎不影响压缩 / 解压速度. 本站通过 ngx_brotli 模块来让 Nginx 支持 Brotli 压缩方式.本文介绍其配置方式. 安装模块 若要启用 ngx_brotli 模块,需要在编译 Nginx 时,加入相应模块: # get source git clone https://github.com/google/ngx_brotli.git cd ngx_brotli g

  • Nginx/Httpd反代tomcat配置教程

    在上一篇博客中,我们了解了tomcat的server.xml中各组件的用法和作用:其中对于tomcat连接器来说,它分三类,一类是http连接器,一类是https连接器,一类是ajp连接器:通常tomcat作为应用服务器,我们不建议也不应该让tomcat直接面向客户端提供服务:因此进入tomcat的访问就只有其他反代服务器的请求了:如果说tomcat使用其他反代服务器对外提供服务,那么对于https的访问就应该由代理服务器端来实现,从代理服务器到tomcat的访问,我们应该还是使用http或者a

随机推荐