有没有办法让Nginx每次configuration重新加载或重新启动时主动提供 OCSP Stplet证书? 或者,Nginx是否可以设置为在重新加载或重新启动时保存已装订的证书而不是丢弃它们? 重新加载或重新启动Nginx似乎会清除所有caching的OCSP装订证书。
我testing了OSCP装订,并在运行Nginx 1.11.4的Ubuntu 16.04.1服务器上工作,并使用Certbot的OCSP必备 TLSfunction扩展。 我的问题是,重新加载或重新启动Nginx时,合并的响应不会保存,而第一个访问者会看到一个错误页面(这是服务器尚未装订的“必须装订”证书的预期结果)。
我必须访问服务器托pipe的每个网站,并重新加载它们几次,而Nginx自动OCSP装订证书,然后一切开始工作,直到下一次重新启动。 我想自动化这一步或完全避免它。
该文章解释了一种方法: https : //matthiasadler.info/blog/ocsp-stapling-on-nginx-with-comodo-ssl/
这个想法是手动获取de OCSP响应并使用ssl_stapling_file指令。
https://unmitigatedrisk.com/?p=241详细解释:
URL = $(openssl x509 -in $ SERVER_CER -text | grep“OCSP – URI:”| cut -d:-f2,3)
openssl ocsp -noverify -no_nonce -respout ocsp.resp -issuer \ $ ISSUER_CER -cert $ SERVER_CER -url $ URL
其中“ocsp.resp”是您在Nginx中为“ssl_stapling_file”configuration的任何文件。