nginx OCSP 验证
在 Nginx 中启用 OCSP 验证需要完成以下步骤:
- 配置 SSL 证书和私钥
在 Nginx 配置文件中配置 SSL 证书和私钥,如下所示:
ssl_certificate /path/to/your/cert.pem; ssl_certificate_key /path/to/your/privkey.pem;
- 配置 OCSP 响应获取方式
在 Nginx 配置文件中配置 OCSP 响应获取方式,如下所示:
ssl_stapling on; ssl_stapling_verify on; ssl_trusted_certificate /path/to/your/trusted_chain.pem; resolver 8.8.8.8 8.8.4.4 valid=300s; resolver_timeout 10s;
- ssl_stapling on: 开启 OCSP Stapling。
- ssl_stapling_verify on: 开启 OCSP 验证。
- ssl_trusted_certificate: 指定可信证书链。
- resolver: 配置 DNS 解析器,用于获取 OCSP 响应。
- valid: 指定 OCSP 响应缓存的有效时间。
- resolver_timeout: 指定解析器超时时间。
- 验证 OCSP 响应
如果您已经配置了 OCSP Stapling 并启用了 OCSP 验证,那么 Nginx 将自动验证 OCSP 响应并使用它来验证客户端的 SSL 证书。您可以使用以下命令来验证 OCSP 响应是否可用:
lua
openssl s_client -connect your.domain.com:443 -status
以上命令会打印出服务器证书链的 OCSP 响应。如果 OCSP 响应有效,那么您将看到 "OCSP Response Status: successful (0x0)" 的消息。
需要注意的是,如果您的 SSL 证书不支持 OCSP Stapling,那么将无法启用 OCSP 验证。在这种情况下,客户端将从 OCSP 服务器中获取证书状态信息。