我可以在重新載入/重新啟動時自動使 Nginx OCSP 裝訂證書嗎?
有沒有辦法讓 Nginx每次重新載入配置或重新啟動時**主動OCSP 主打證書?**或者,是否可以將 Nginx 設置為在重新載入或重新啟動時保存裝訂的證書而不是丟棄它們?重新載入或重新啟動 Nginx 似乎會清除所有記憶體的 OCSP 裝訂證書。
我在執行 Nginx 1.11.4 並使用Certbot 的 OCSP Must-Staple TLS 功能擴展的 Ubuntu 16.04.1 伺服器上進行了 OSCP 裝訂測試和工作。我的問題是,在重新載入或重新啟動 Nginx 時,沒有保存裝訂的響應,而是第一個訪問者看到一個錯誤頁面(這是伺服器尚未裝訂的“必須裝訂”證書的預期結果)。
我必須訪問伺服器託管的每個網站並重新載入它們幾次,而 Nginx 會自動 OCSP 裝訂證書,然後一切都會重新開始工作,直到下一次重新啟動。我想自動化這一步或完全避免它。
那篇文章解釋了一種方法: https ://matthiasadler.info/blog/ocsp-stapling-on-nginx-with-comodo-ssl/
這個想法是手動獲取 de OCSP 響應並使用 ssl_stapling_file 指令。
https://unmitigatedrisk.com/?p=241詳細解釋:
網址= $ (openssl x509 -in $ SERVER_CER-文本 | grep “OCSP – URI:” | 剪切-d:-f2,3)
openssl ocsp -noverify -no_nonce -respout ocsp.resp -issuer
$ ISSUER_CER -cert $ SERVER_CER -url $URL其中“ocsp.resp”是您在 Nginx 中為“ssl_stapling_file”配置的任何文件。