Настройка OCSP Stapling | ALPN + Nginx на Ubuntu Server
Сегодня в статье разберём как включить OCSP на web-сервере Nginx с сертификатами от Let`s Encrypt.
Но сперва что же такое OCSP?
OCSP (Online Certificate Status Protocol) — это интернет протокол для проверки статуса SSL-сертификата, который работает быстрее и надежнее, чем это осуществлялось ранее с помощью списков САС (или CRL списков) с отозванными SSL сертификатами.
Как узнать, является ли сертификат доверенным? Сделать это можно единственным способом – спросить об этом у самого поставщика, т.е. у удостоверяющего центра, который хранит всю информацию, связанную с выпущенным сертификатом.
Метод OCSP Stapling помогает быстро и безопасно установить достоверность SSL-сертификата.
Извлекаем промежуточный сертификат Let’s Encrypt
Коннектимся под root:
sudo suСкачиваем промежуточные сертификаты ЦА
cd /etc/ssl/private && wget -O - https://letsencrypt.org/certs/isrgrootx1.pem https://letsencrypt.org/certs/lets-encrypt-x1-cross-signed.pem https://letsencrypt.org/certs/letsencryptauthorityx1.pem https://www.identrust.com/certificates/trustid/root-download-x3.html | tee -a ca-certs.pem> /dev/nullНастройка OCSP stapling на Nginx с админ-панелью VestaCP
Отредактируйте файл виртуального хоста:
sudo nano /home/admin/conf/web/example.com.nginx.ssl.confи внесите в раздел server {} следующий блок кода:
ssl_stapling on;
ssl_stapling_verify on;
ssl_trusted_certificate /etc/ssl/private/ca-certs.pem;Перезагружаем nginx:
sudo /etc/init.d/nginx restartТестируем OCSP на Ubuntu Server
echo QUIT | openssl s_client -connect obu4alka.ru:443 -status 2> /dev/null | grep -A 17 'OCSP response:' | grep -B 17 'Next Update'Данная команда выдаст следующий результат:
OCSP response:
================================================================
OCSP Response Data:
OCSP Response Status: successful (0x0)
Response Type: Basic OCSP Response
Version: 1 (0x0)
Responder Id: C = US, O = Let's Encrypt, CN = Let's Encrypt Authority X3
Produced At: Sep 14 01:40:00 2019 GMT
Responses:
Certificate ID:
Hash Algorithm: sha1
Issuer Name Hash: 7EE66AE7729AB3FCF8A220646C16A12D6071085D
Issuer Key Hash: A84A6A63047DDDBAE6D139B7A64565EFF3A8ECA1
Serial Number: 03E2EA3D34CED68F180CD2179ABB275275C5
Cert Status: good
This Update: Sep 14 01:00:00 2019 GMT
Next Update: Sep 21 01:00:00 2019 GMTОнлайн-тест Qualys
Чтобы проверить работу OCSP stapling онлайн, перейдите на этот сайт. Когда тестирование будет завершено, найдите строку OCSP stapling в разделе Protocol Details.
Тестирование ALPN
testsite="obu4alka.ru"; echo | openssl s_client -alpn h2 -connect $testsite:443 -servername $testsite 2>&1 | grep -q "ALPN protocol: h2" && echo "ALPN поддерживается" || echo "ALPN не поддерживается"либо так:
echo | openssl s_client -alpn h2 -connect obu4alka.ru:443 | grep ALPNМожете также воспользоваться ещё одним способом проверки, вот ссылка
Если есть вопросы, то пишем в комментариях.
Также можете вступить в Телеграм канал, ВКонтакте или подписаться на Twitter. Ссылки в шапке страницы.
Заранее всем спасибо!!!
RSS
Сегодня в статье настроим и русифицируем Ubuntu Server 16.04/18.04/20.04. Чтобы поддерживался русский язык, и перевод системы стал русским
Начиная с сентября 2017 года удостоверяющим центрам предписано обязательно проверять CAA-записи в DNS перед генерацией сертификата
В этой статье рассмотрим пример обновления Ubuntu Server 16.04 до Ubuntu Server 18.04 Все наши действия нам придется выполнять из Читать
В связи с последними блокировками IP-адресов Роскомнадзором, встала необходимость завести свой собственный VPN сервер. Если VPN у вас ещё не Читать
Спасибо, за ваш труд. Настроил за пару минут. На онлайн сайтах проверка проходить. И в терминале по данным командам тоже. Лайк Вам :)