Могу ли я сделать Nginx автоматически сшивать OCSP сертификаты при перезагрузке / перезапуске?

Question

Могу ли я сделать Nginx автоматически сшивать OCSP сертификаты при перезагрузке / перезапуске?

Есть ли способ сделать Nginx проактивно сшивать OCSP сертификаты каждый раз, когда его конфигурация перезагружается или перезапускается? В качестве альтернативы, можно ли настроить Nginx для сохранения сшитых сертификатов при перезагрузке или перезапуске вместо их удаления? Перезагрузка или перезапуск Nginx, по-видимому, очищает все кэшированные сшитые сертификаты OCSP.

Я протестировал сшивание OSCP и работал на сервере Ubuntu 16.04.1, работающем под Nginx 1.11.4 и использующим расширение Certbot OCSP Must-Staple TLS. Моя проблема заключается в том, что при перезагрузке или перезапуске Nginx сшитый ответ не сохраняется, и вместо этого первый посетитель видит страницу с ошибкой (это ожидаемый результат для сертификатов "необходимо сшить", еще не сшитых сервером).

Я должен посетить каждый веб-сайт, размещенный на сервере, и перезагрузить их пару раз, пока Nginx автоматически сшивает сертификаты OCSP, затем все начинает работать снова до следующего перезапуска. Я хотел бы автоматизировать этот шаг или вообще избежать его.

6

nginx ocsp

Источник

Tom Brossman 30 сен '16 в 12:18

1 ответ

Решение

Другие вопросы по тегам nginx ocsp

Tom 30 сен '16 в 14:03 2016-09-30 14:03 · Accepted Answer · 2016-09-30 14:03

Эта статья объясняет один из способов сделать это: https://matthiasadler.info/blog/ocsp-stapling-on-nginx-with-comodo-ssl/

Идея состоит в том, чтобы вручную получить ответ OCSP и использовать директиву ssl_stapling_file.

https://unmitigatedrisk.com/?p=241 объясняет это в деталях:

URL = $ (openssl x509 -in $ SERVER_CER -text | grep "OCSP - URI:" | cut -d: -f2,3)
openssl ocsp -noverify -no_nonce -respout ocsp.resp -issuer \ $ ISSUER_CER -cert $ SERVER_CER -url $ URL
Где "ocsp.resp" - это любой файл, который вы настроили в Nginx для "ssl_stapling_file".