Задать вопрос
@serious911
веб-разработка

Настройка OCSP Stapling в Nginx?

Здравствуйте.

Получил SSL сертификат от китайской компании WoSign по инструкции с Хабра. Сертификат установил на связку Ubuntu+Nginx+Apache и судя по проверке на ssllabs все вроде работает.

Конфиг nginx для сайта:

server {
listen 80;
listen 443 ssl;

server_name site.net www.site.net;
access_log /var/www/public_html/site.net/logs/nginx_access.log;
error_log /var/www/public_html/site.net/logs/nginx_error.log;

access_log off;

#ssl on;
ssl_certificate /var/www/public_html/ssl/site.net.crt;
ssl_certificate_key /var/www/public_html/ssl/site.net.key;
ssl_protocols TLSv1 TLSv1.1 TLSv1.2;
#ssl_ciphers HIGH:!aNULL:!MD5;
ssl_ciphers "RC4:HIGH:!aNULL:!MD5:!kEDH";
ssl_session_cache shared:SSL:10m;
add_header Strict-Transport-Security "max-age=31536000; includeSubdomains;";

#OCSP
ssl_stapling on;
ssl_stapling_verify on;
ssl_trusted_certificate /var/www/public_html/ssl/private/ca-certs.pem;
#ssl_stapling_responder ocsp6.wosign.com/ca6/server1/free;
resolver 8.8.8.8 8.8.4.4 valid=300s;
resolver_timeout 5s;

................

location / {
proxy_pass 127.0.0.1:8080/;

### force timeouts if one of backend is died ##
proxy_next_upstream error timeout invalid_header http_500 http_502 http_503 http_504;

proxy_set_header X-Real-IP $remote_addr;
proxy_set_header X-Forwarded-for $remote_addr;
proxy_set_header Host $host;

proxy_connect_timeout 60;
proxy_send_timeout 90;
proxy_read_timeout 90;
proxy_redirect off;
proxy_set_header Connection close;
proxy_pass_header Content-Type;
proxy_pass_header Content-Disposition;
proxy_pass_header Content-Length;
}
}


Для избегания длительных обращений за подтверждением сертификата в Китай нужно настроить еще OCSP Stapling. Настройки делал как описано здесь, здесь и здесь. Обновил даже nginx до версий 1.6.4 (стабильная) и 1.7.10 (последняя). Пробовал также прикрутить 1-й вариант велосипеда как описано тут. Но ничего не помагает...

Команда ничего не выводит на экран консоли:

echo QUIT | openssl s_client -connect site.net:443 -status 2> /dev/null | grep -A 17 'OCSP response:' | grep -B 17 'Next Update'


Здесь я получаю такой ответ по OCSP:
b41c953b8d2e437e964ec49697fa1ebf.png

А здесь такой:
9fb9d86b6072458ba1c5eacef5b09a60.png

В логах /var/www/public_html/site.net/logs/nginx_error.log также по OCSP ошибок нет.

Подскажите, пожалуйста, как правильно настроить OCSP в данном случае?

Спасибо.
  • Вопрос задан
  • 3872 просмотра
Комментировать
Подписаться 3 Оценить Комментировать
Пригласить эксперта
Ответы на вопрос 2
@polozad 
ssl_trusted_certificate /var/www/public_html/ssl/private/ca-certs.pem;

Это просто пять. Вы трастовый сертификат в паблик положили?
Ответ написан
1 комментарий
1 комментарий
@serious911 Автор вопроса
появились новые детали :)

только-что настроил OCSP для сертификатов RapidSSL - все работает хорошо (получил OCSP stapling = Yes на SSL Labs), но с WoSign нет. Наверно проблема именно в их сертификатах.

Есть еще один момент... После успешной настройки OCSP RapidSSL на одном домене команда:

openssl s_client -connect site1.net:443 -tls1 -tlsextdebug -status

возвращает одинаковый ответ OCSP Data для разных доменов с разными сертификатами, но на сервере с одним IP.

OCSP Data для WoSign:

OCSP response: no response sent
depth=3 C = IL, O = StartCom Ltd., OU = Secure Digital Certificate Signing, CN = StartCom Certification Authority
verify error:num=19:self signed certificate in certificate chain
verify return:0
Ответ написан
Комментировать
Комментировать
Ваш ответ на вопрос

Войдите, чтобы написать ответ

Войти через центр авторизации
Похожие вопросы
Вакансии с Хабр Карьеры
Веб-разработчик
Искра Екатеринбург
от 80 000 до 100 000 ₽
Веб-разработчик
Art gorka Санкт-Петербург
от 60 000 ₽
Fullstack PHP Developer
Smapse Education
от 40 000 до 65 000 ₽
Ещё вакансии
Заказы с Хабр Фриланса
Написать приложение калькулятор заказа материла ios + android (опция)
26 апр. 2024, в 15:30
100000 руб./за проект
Поддержка сервиса по рассылкам
26 апр. 2024, в 15:12
30000 руб./за проект
Unity AR прототип
26 апр. 2024, в 15:11
15000 руб./за проект
Ещё заказы