Nginx 关于 OCSP 的调试部署

最新推荐文章于 2024-04-22 00:45:00 发布
最新推荐文章于 2024-04-22 00:45:00 发布
阅读量2.4k 收藏 2
点赞数
分类专栏: nginx
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/myarche/article/details/110664255
版权

因为某些浏览器的原因,可能我们需要为证书配置 OCSP 。

花了一下午进行调试和整理,现在已经成功,现在写下心得。

证书是在 PositiveSSL 购买的,也就是现在的 Comodo 证书。

如何生成 csr 并生成密钥,并购买证书,因为教程比较多,这里就不在阐述了。

一般我们购买证书之后,在邮件或者等地方都可以下载到我们需要的证书文件,常见的压缩包里会包含两个:

doamin.crt  也就是我们的域名网站证书

domain.ca-bundle 捆绑证书,包含根证书和中间证书。

当然如果没有中间证书,我们也可以在购买的对应证书官网下载,比如 comodo :https://support.sectigo.com/Com_KnowledgeDetailPage?Id=kA01N000000rfBO

我们来看一下该页面对中间证书的介绍,因为我们使用的是个人域名申请,所以这里就只看 Domain Validation 这一栏

Domain Validation

[Download] Sectigo RSA Domain Validation Secure Server CA [ Intermediate ] 为中间证书
[Download ] USERTrust RSA Root xSigned using AAA CA [ Cross Signed ] 为交叉签名
(Or)
[Download] Sectigo RSA DV Bundle [ Intermediate + Cross Signed ] 顾名思义,就是以上两个的合并文件。

其实我们下载上面的捆绑证书,然后在使用我们的域名证书合并在一起也就生成了完整的证书链:

cat domain.crt SectigoRSADomainValidationSecureServerCA.crt USERTrustRSAAAACA.crt > fullchain.crt

不过在 comodo 早版本之前,购买的证书曾经碰到过三个中间证书,合并规则如下:

cat domain.crt SectigoRSADomainValidationSecureServerCA.crt USERTrustRSAAAACA.crt AAACertificateServices.crt > fullchian.crt

因为 AAACertificateServices.crt 这个为旧版本的中间证书:https://support.sectigo.com/Com_KnowledgeDetailPage?Id=kA01N000000zFQj

 

好了,拿到证书的文件之后,我们开始测试并使用 OCSP:

查看csr文件信息命令:

openssl req -in domain.csr -noout -text

查看证书文件信息命令,csr 为申请域名之前自己生成的:

openssl x509 -in site.crt -noout -text

查看证书fingerprint的命令:

openssl x509 -in domain.crt -noout -fingerprint

接下来是证书及https验证相关的命令:

openssl x509 -in domain.crt -noout -subject

这个命令用来检查证书的主体,可以查看到证书的域,在这里我们可以查到 comodo 的 ocsp 网址为:http://ocsp.sectigo.com

openssl x509 -in domain.crt -noout -ocsp_uri

接下来我们验证 ocsp 结果,在这里一直卡在了一个错误:

注意,代码中的 domain.ca-bundle 为中间证书,domain.crt 为我们的域名证书,别错了,一般都是购买后下载压缩里的两个文件

openssl ocsp -issuer domain.ca-bundle -cert domain.crt -no_nonce -text -url http://ocsp.digicert.com/ -text -respout stapling_ocsp

返回错误信息如下:

OCSP Request Data:
    Version: 1 (0x0)
    Requestor List:
        Certificate ID:
          Hash Algorithm: sha1
          Issuer Name Hash: 430BD20E4F137A1A6C918F24E5DA7E324D4733C8
          Issuer Key Hash: 8D8C5EC454AD8AE177E99BF99B05E1B8018D61E1
          Serial Number: E5CAE551D10B808BA44AA90A85E0F65F
Responder Error: unauthorized (6)

后来参考 http://www.voidcn.com/article/p-xirnixfk-btx.html 为 openssl 加上 host

 openssl ocsp -issuer domain.ca-bundle.crt -cert domain.crt -no_nonce -url http://ocsp.sectigo.com -header "HOST" "ocsp.sectigo.com"

还是报错如下:

Response Verify Failure
140196948916112:error:27069076:OCSP routines:OCSP_basic_verify:signer certificate not found:ocsp_vfy.c:92:
www_luckfile_com.crt: good
        This Update: Dec  2 20:04:31 2020 GMT
        Next Update: Dec  9 20:04:31 2020 GMT

这期间测试过很多方法,包括更换 ocsp 网址,以及代码中的两个证书文件,都不行

知道无意间搜索到一篇文章才知道要使用如下格式,这里的 SectigoRSADVBundle.pem 不用管,等同于上面的 domain.ca.bundle 中间证书

重点是 -verify_other fullchain.pem 这个,也就是我们的完整证书链,也就是 域名证书+中间证书的合并文件,也就是 nginx 里的 ssl_certificate 配置文件

openssl ocsp -respout ocsp_sta.oscp -issuer SectigoRSADVBundle.pem -cert domain.crt -no_nonce -url http://ocsp.sectigo.com -header "HOST" "ocsp.sectigo.com" -verify_other fullchain.pem

返回如下,并生成 ocsp_sta.oscp 文件:

Response verify OK
www_luckfile_com.crt: good
        This Update: Dec  2 20:04:31 2020 GMT
        Next Update: Dec  9 20:04:31 2020 GMT

PS:我直接在终端 cat 了 ocsp_sta 文件,然后终端工具就花屏了

接下来进行测试:

 openssl s_client -connect 127.0.0.1:443 -servername domain.com -status -tlsextdebug < /dev/null 2>&1 | grep -i "OCSP response"

当然也可以去除 | grep -i "OCSP response" 来查看返回的详细信息

返回如下证明成功:

OCSP response: 
OCSP Response Data:
    OCSP Response Status: successful (0x0)
    Response Type: Basic OCSP Response

接下来在宝塔的网站 nginx 配置文件中修改:

    ssl_stapling on;
    ssl_stapling_file /www/server/panel/vhost/cert/domain.com/ocsp_sta.oscp;
    ssl_stapling_verify on;
    ssl_trusted_certificate /www/server/panel/vhost/cert/domain.com/SectigoRSADVBundle.pem;
    resolver 8.8.4.4 valid=300s;
    resolver_timeout 1s;

然后重 重启 nginx ,reload 不行,必须 restart

参考文章如下:

https://www.cnblogs.com/maintell/p/13601458.html

http://www.voidcn.com/article/p-xirnixfk-btx.html

https://sillydong.com/mysa/myserver/https_openssl.html

https://blog.csdn.net/HalsonHe/article/details/81030292

 

 

oscp 在线检测:https://www.getssl.cn/ocsp

https://myssl.com/

https://certificatetools.com/ocsp-checker

 

提醒:如果使用 cloudflare 等 CDN ,检测状态将不会显示 ocsp 装订,这个 cdn 的策略有关.

我进行了两次测试,使用 CDN ,在线检测不到,关闭 CDN,检测生效 .

 

myarche
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
内网OCSP创建和部署指南
weixin_33734785的博客
09-08 1459
准备创建需要的环境1.1创建环境简介 Linux或window...
Nginx 启用 OCSP Stapling的配置
01-10
这里,我将介绍什么是 OCSP Stapling 以及为什么要开启它。 在线证书状态协议(Online Certificate Status Protocol),简称 OCSP,是一个用于获取 X.509 数字证书撤销状态的网际协议,在 RFC 6960 中定义。OCSP 用于检验证书合法性,查询服务一般由证书所属 CA 提供。OCSP 查询的本质,是一次完整的 HTTP 请求加响应的过程,这中间涵括的 DNS 查询、建立 TCP 连接、Web 端工作等步骤,都将耗费更多时间,使得建立 TLS 花费更多时长。 而这时,OCSP Stapling 出现了。经由 OCSP Stapling(OC
从无法开启 OCSP Stapling 说起,OCSP是什么
weixin_34067102的博客
08-23 3116
本文转载自:https://imququ.com/post/why-can-not-turn-on-ocsp-stapling.html最近收到的几封读者邮件,都是询问为什么在 Nginx 中无法开启 OCSP Stapling。具体现象是在 Nginx 中明明配置了ssl_stapling on,但通过SSL Labs等工具查看,OCSP stapling 这一项并...
如何在 Apache 和 Nginx 上配置 OCSP Stapling
rubys007的博客
04-22 1402
OCSP stapling 是一个旨在提高 SSL 协商性能并保持访问者隐私的 TLS/SSL 扩展。在继续配置之前,先简要介绍一下证书吊销的工作原理。本文将使用 StartSSL 颁发的免费证书进行演示。如何在 Ubuntu 12.04 上使用 Apache 设置多个 SSL 证书如何在 Ubuntu 12.04 上使用 Nginx 设置多个 SSL 证书。
CentOS8使用gmssl搭建demoCA及配置OCSP服务
MARS_098的博客
09-26 2311
本文档以CentOS8 + GmSSL2.5.4版本为例 1、GmSSL搭建CA 1.1 安装GmSSL 我们知道,Linux下默认只有openssl的发行版,并没有默认安装GmSSL,所以需要手动下载并编译安装。而GmSSL的大部分功能时基于openssl的,所以不能再使用动态编译安装,否则会导致链接冲突。 GmSSL的官方配置文档链接:关于GmSSL 可以参考官方的步骤,但需要注意的是,需要加上一个no-shared的选项,以使用静态编译安装。安装的时候选择合适的目录安装,示例文件夹为/usr/loc
Sectigo RSA Domain Validation Secure Server CA 申请及续订Sectigo SSL证书
安全
10-25 1250
目前Sectigo以前属于Comodo,设立总部位于:美国,分公司分为:英国、加拿大,不过认证过程大部分是英国的概率多一些。针对中国是提供北京时间的认证时间,所以时间上和我们是同步的。 庆幸的是DV类型的SSL证书是不需要人工审核的,所以可以24小时内都可以申请使用。想什么时候申请都可以,而且在国内可以在Gworg自助申请,提交域名就可以拿到SSL证书文件,还是比较简单的。 Sectigo数字证书很全面除了SSL证书,还分为代码签名证书、S/MIME 电子邮件、代码签名、文件签名证书的等。 申请及续订
基于OpenSSL的https的Nginx反向代理
weixin_66536807的博客
09-14 1187
搭建https访问的nginx服务器
comodo 证书购买部署
myarche的博客
11-08 1820
在本地使用 KeyManager 生成了公钥和密钥,然后按照 name要求申请了 comodo 的 SSL 证书服务。 域名 DNS 使用的 cloudfalre ,然后进行了邮件验证。 认证后收到了 comodo 发来的邮件供下载证书。 然后按照以下顺序捆绑文件 服务器命令 cat SectigoRSADomainValidationSecureServerCA.crt USE...
nginx交叉编译与部署.pdf
08-07
Nginx交叉编译与部署 Nginx交叉编译与部署是指在不同架构的平台上编译和部署Nginx服务器的过程。本文将介绍基于海思3559A对Nginx-1.6.2和OpenSSL-1.0.2的交叉编译过程,并介绍Nginx-1.6.2的环境部署。 一、概述 ...
centos7.2搭建nginx的web服务器部署uniapp项目
09-14
在本文中,我们将详细探讨如何在CentOS 7.2操作系统上设置Nginx Web服务器,并部署基于UniApp的Web项目。首先,我们要确保你已具备一个基础的Linux操作环境和对Nginx的初步理解。 一、环境准备 1. **购买云服务器**...
nginx自动化部署一键部署安装
最新发布
04-30
**Nginx自动化部署一键安装详解** 在现代的Web服务器管理中,自动化部署变得越来越重要,它可以节省时间、减少人为错误并提高效率。Nginx作为一款高性能的HTTP和反向代理服务器,广泛应用于网站托管、负载均衡和...
【学习】cheapsslsecurity SSL证书未过期,但控制台访问显示过期
二黑黑黑
06-04 760
一、背景 近期,我遇到一个很奇怪的问题,wget https://xxx.com/xxx.apk(自家公司的apk)时显示证书过期,大吃一惊,因为ssl证书我都有程序对其可用日期进行监控,一看还有80多天,就是显示过期。果然,一问证书供应商,说是根证书过期了。其实也不要担心,遇到此问题的朋友们,根证书过期只会对apache和nginx使用ssl的产生影响,浏览器其他的访问是没问题滴。接下来就跟大家分享一下如何使得域名https恢复正常。 二、步骤 1.如上图所示,我跟证书供应商提了工单他已经说的很清楚了,
Let‘s Encrypt证书很慢?使用OCSP Stapling技术完美解决
osfipin note
12-03 1770
苹果设备在首次访问由Let's Encrypt颁发证书的网站时,会非常的缓慢。这是因为IOS和MAC系统会默认进行OCSP实时查询,以保证证书是否被吊销。由于Let's Encrypt的OSCP域名在国内被墙,导致访问国内访问非常缓慢。那么我们如何解决这个问题呢? 主要关键词:IOS系统,MAC系统,letsencrypt,免费证书,HTTPS网站,SSL证书,网站访问速度 一、首先要了解 1、chrome浏览器默认时不进行OCSP实时查询,也就不会出现这样的问题。 2、访问慢主要是OCSP服务器的
SSL 配置优化的若干建议
热门推荐
Hummer
01-28 1万+
转载自本人博客:https://dev.tail0r.com/ssl-optimization/ 如果你配置SSL只是为了网站的网址前有一把锁的标志,那不如直接送你把锁好了。 别想了,这句话不是哪个安全专家说的,是我说的(逃) 今天写一篇文章记录一下自己 SSL 的配置优化过程。以下设置均为 Nginx 的配置。 Forward Secrecy(前向加密) forward...
x.509因特网公钥基础设施在线证书状态协议-OCSP
wuwenlong527的专栏
11-04 2094
source: http://www.infosecurity.org.cn/article/pki/standard/23546.html 本备忘录的状态本文档讲述了一种Internet社区的Internet标准跟踪协议,它需要进一步进行讨论和建议以得到改进。请参考最新版的“Internet正式协议标准”(STD1)来获得本协议的标准化程度和状态。本备忘录的发布不受任何限制。版权声明Copy
Responder入门理解笔记
ACERROR
09-18 549
响应链是一种消息处理机制,它是以组有序的响应者对象组成的链条。 当消息进入响应链条后,由响应者对象依次判断是否能够处理该消息,当一个响应者对象不能处理此条消息的时,它会将消息传递给它的继任者(也就是下一个响应对象)。响应链具有如下特性: 1.由AppKIt自动创建 2.一个App同一时刻可以包含任意数量的响应链,但同一时刻仅能有一条响应链处理消息。 3.可以在响应链中插入响应者:(通过NSResponder的setNextResponder:的方法) 4.不同的事件消息,在响应链中会有不同的响应逻辑; 响应
OCSP server搭建
zhangxiaoming168的博客
08-16 1324
openssl req -new -nodes -out ca.csr -keyout ca.key -extensions v3_ocsp -config opensslca.cnf openssl ca -in ca.csr -out ca.crt -extensions v3_OCSP -config opensslca.cnf openssl genrsa -des3 -out ...
如何在NGINX服务器上安装Comodo颁发的SSL证书
益力多的专栏
10-05 4024
第一步:在线生成SCR证书请求文件(Cerificate Signing Request) 申请网站很多,推荐亚洲诚信,网址https://www.trustasia.com/tools/csr-generator/,内容如实填写即可,生成的CSR与KEY请保存好,后面会用到。 第二步:使用CSR内容向Comodo申请证书 可以在域名服务商处进行提交申请。推荐https://ww
tomcat cookie domain validation 问题修复方案
嘻嘻哈哈在成长
06-12 2215
tomcat升级到8.5版本 使用了Rfc6265CookieProcessor 就出现了 cookie domain validation。。 解决方案一 网上有方案的都是要改cookie的处理方案 符合规格如下 1、必须是1-9、a-z、A-Z、. 、- (注意是-不是_)这几个字符组成 2、必须是数字或字母开头 (所以以前的cookie的设置为.XX.com 的机
nginx 部署_nginx部署h5项目
07-25
您好!关于部署H5项目到Nginx上,您可以按照以下步骤进行操作: 1. 首先,确保您已经安装好了Nginx。如果没有安装,可以使用适合您操作系统的包管理工具进行安装。 2. 打开Nginx的配置文件,可以在/etc/nginx/nginx.conf或者/etc/nginx/conf.d/default.conf中找到。可以使用任何文本编辑器进行编辑。 3. 在配置文件中找到server段,一般以"server {"开头。在该段内,可以配置多个location来指定不同的路径。 4. 添加一个新的location,用于指定H5项目的路径。例如,可以使用以下配置: ``` location /h5 { alias /path/to/h5; # 替换成您H5项目的实际路径 index index.html; } ``` 这里假设您的H5项目位于"/path/to/h5"目录下,可以根据实际情况进行替换。 5. 保存并关闭配置文件。 6. 重启Nginx服务,使配置文件生效。可以使用以下命令重启Nginx: ``` sudo service nginx restart ``` 7. 现在,您的H5项目应该已经部署成功了。可以通过访问"http://your-domain/h5"来查看H5项目。 希望以上步骤能够帮助到您!如果有任何问题,请随时提问。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值