Ich möchte das OCSP-Heften auf meinem Nginx-Server aktivieren. Ich benutze
- Nginx-Version: Nginx / 1.6.2
- Debian
- Lassen Sie uns das Zertifikat verschlüsseln
Ich bin in dieser Angelegenheit wirklich unerfahren, daher könnte es ein triviales Problem sein.
Hier meine Nginx-Sicherheitskonfiguration
ssl_protocols TLSv1 TLSv1.1 TLSv1.2;
ssl_prefer_server_ciphers on;
ssl_session_cache shared:SSL:10m;
ssl_dhparam /etc/ssl/private/dhparams_4096.pem;
Hier meine Site / Server-Sicherheitskonfiguration:
add_header Strict-Transport-Security "max-age=31536000; includeSubdomains; preload";
# All files have been generated by Let's encrypt
ssl_certificate /etc/letsencrypt/live/myexample.org/fullchain.pem;
ssl_certificate_key /etc/letsencrypt/live/myexample.org/privkey.pem;
# Everything below this line was added to enable OCSP stapling
# What is that (generated file) and is that required at all?
ssl_trusted_certificate /etc/letsencrypt/live/myexample.org/chain.pem;
ssl_stapling on;
ssl_stapling_verify on;
resolver 8.8.8.8 8.8.4.4 valid=300s;
resolver_timeout 5s;
Ich habe gelesen, dass dies ausreichen würde, um das OCSP-Heften zu ermöglichen.
Aber wenn ich es mit teste
openssl s_client -connect myexample.org:443 -tls1 -tlsextdebug -status
Ich werde folgende Antwort erhalten:
TLS server extension "renegotiation info" (id=65281), len=1
0001 - <SPACES/NULS>
TLS server extension "EC point formats" (id=11), len=4
0000 - 03 00 01 02 ....
TLS server extension "session ticket" (id=35), len=0
TLS server extension "heartbeat" (id=15), len=1
0000 - 01 .
OCSP response: no response sent
depth=1 C = US, O = Let's Encrypt, CN = Let's Encrypt Authority X1
verify error:num=20:unable to get local issuer certificate
verify return:0
---
Certificate chain
0 s:/CN=myexample.org
i:/C=US/O=Let's Encrypt/CN=Let's Encrypt Authority X1
1 s:/C=US/O=Let's Encrypt/CN=Let's Encrypt Authority X1
i:/O=Digital Signature Trust Co./CN=DST Root CA X3
---
[...]
Insbesondere
OCSP response: no response sent
Was mache ich falsch?
Zertifikatshierarchie:
- DST-Stammzertifizierungsstelle X3
- Verschlüsseln wir die Behörde X1
- myexample.org
- Verschlüsseln wir die Behörde X1
BEARBEITEN:
OCSP: URI: http://ocsp.int-x1.letsencrypt.org/
CA-Issuer: URI: http://cert.int-x1.letsencrypt.org/
fullchain.pem
undchain.pem
Dateien - sind sie gleich? Sollte diessl_trusted_certificate
Direktive nicht auch diefullchain.pem
Datei verwenden?Antworten:
Nach dem Standard-Nginx-Setup sollten Sie keine
ssl_trusted_certificate
Kette angeben müssen . Folgendes sollte ausreichen:Siehe hier für weiteren Kontext.
quelle
Ich fand die Lösung basierend auf dem Tutorial Ich fand es :
und fügen Sie dies Ihrer Site / Server-Konfiguration hinzu
Laden Sie Ihre Konfiguration neu
WICHTIG: Öffnen Sie Ihren Browser und greifen Sie einmal auf Ihre Webseite zu.
Dann können Sie Ihren Server lokal mit diesem cmd testen:
Sie werden höchstwahrscheinlich eine gültige Antwort wie diese erhalten
Mach dir keine Sorgen, wenn du eine bekommst
am Boden als auch , ist das Lassen Sie uns encrypt Zertifikat noch nicht in der Standard - Zertifikatspeicher vertraut. (Ich habe nicht viel SSL-Erfahrung, also könnte ich mich irren)
Der Fehler wird nicht angezeigt, wenn Sie das folgende cmd auf dem Server ausführen:
Danach können Sie Ihren Server testen mit:
https://www.digicert.com/help/
Beachten Sie, dass OCSP-Antworten derzeit nicht von den ssllabs-Tests erfasst werden. Ich gehe davon aus, dass dies daran liegt, dass sich das Let's-Verschlüsselungszertifikat noch nicht in den standardmäßigen vertrauenswürdigen Zertifikatspeichern befindet.
quelle