Ich versuche, OCSP-Stapling auf Nginx einzurichten, weil ich einen Test durchgeführt habe und dieser die Idee nahelegte, und, naja, Sie wissen schon.
https://sslcheck.globalsign.com/en_GB/sslcheck?host=aj2jewellers.co.uk#176.58.103.165
Ich erhalte die Fehlermeldung:
nginx: [warn] "ssl_stapling" ignored, no OCSP responder URL in the certificate
Hier sind die relevanten Teile meiner .conf
server {
# use Google's DNS
resolver 8.8.4.4 8.8.8.8 valid=300s;
resolver_timeout 10s;
ssl_stapling on;
ssl_stapling_verify on;
## verify chain of trust of OCSP response using Root CA and Intermediate certs
ssl_trusted_certificate /pathtossl/www.aj2jewellers.co.uk.crt;
}
Antwort1
Die Option ssl_trusted_certificate sollte auf das Stammzertifikat und alle Zwischenzertifikate der Zertifizierungsstelle verweisen, nicht auf Ihr signiertes Zertifikat. Dies wird in der NGINX-Dokumentation hier deutlich gemachthttp://nginx.org/en/docs/http/ngx_http_ssl_module.html#ssl_stapling_verify. Weitere Konfigurationsbeispiele finden Sie unterhttps://blog.kempkens.io/posts/ocsp-stapling-with-nginx/