首页 > nginx > nginx解决"ssl_stapling" ignored, no OCSP responder URL in the certificate

nginx解决"ssl_stapling" ignored, no OCSP responder URL in the certificate

2020年5月9日 发表评论 阅读评论

OCSP 则是一个在线查询接口,浏览器可以实时查询单个证书的合法性。在每个证书的详细信息中,都可以找到对应颁发机构的 CRL 和 OCSP 地址。

OCSP 的问题在于,某些客户端会在 TLS 握手阶段进一步协商时,实时查询 OCSP 接口,并在获得结果前阻塞后续流程,这对性能影响很大。而 OCSP Stapling(OCSP 封套),是指服务端在证书链中包含颁发机构对证书的 OCSP 查询结果,从而让浏览器跳过自己去验证的过程。服务端有更快的网络,获取 OCSP 响应更容易,也可以将 OCSP 响应缓存起来。OCSP 响应本身经过了数字签名,无法伪造,所以 OCSP Stapling 技术既提高了握手效率,也不会影响安全性。

启用 OCSP 的相关配置

ssl_trusted_certificate 选项应指向证书颁发结构的中间证书+根证书,而不是购买的ssl证书。否则会报:"ssl_stapling" ignored, no OCSP responder URL in the certificate。

报错1:报nginx: [warn] "ssl_stapling" ignored, issuer certificate not found for certificate "default.csr" 错误。

打开两个 on 的同时要带着 ssl_trusted_certificate 配置。

报错2:

解决方式:加 hosts
23.205.154.146 ocsp.int-x3.letsencrypt.org

检查是否生效

执行下面命令:

返回:

Verify return code: 18。是因为SNI的原因(SERVER NAME INDICATION),SNI允许一个IP可以申请多个域名的证书。

验证证书的时候需要指明证书对应的域名,否则就会返回默认证书,也就是上面的自签名证书。

正确方式,使用参数-servername指明要测试的域名:

返回如下配置表示生效

 

转载请注明本文地址: https://www.nginx.cn/5566.html

分类: nginx 标签:
  1. 本文目前尚无任何评论.
  1. 本文目前尚无任何 trackbacks 和 pingbacks.