Nginx; So verwenden Sie OCSP zum Überprüfen des SSL-Clientzertifikats

Question

Ich verwende Nginx, um eine sichere Verbindung zu erstellen. Wenn ich das Client-Zertifikat widerrief, kann ich auch eine Verbindung zu Nginx über https herstellen. Ich weiß, dass ich die ssl_crl-Direktiven konfigurieren sollte, aber ich möchte OCSP verwenden, um das Client-Zertifikat zu verifizieren. Wie soll ich vorgehen? Ich fand Nginx verwenden OpenSSL-Bibliothek, um SSL-Verbindung zu etablieren, sollte ich etwas mit openssl.cnf Datei tun? Diese

Answer 1

ist nur ein Beispiel dafür, wie der Code wie in der Server-Block aussehen sollte:

server { 

    # Listen on port 443 
    listen 443 default_server; 
    server_name example.com; 

    root /path/to/site-content/; 
    index index.html index.htm; 

    # Turn on SSL; Specify certificate & keys 
    ssl on; 
    ssl_certificate /etc/nginx/ssl/example.com/my_certificate.crt; 
    ssl_certificate_key /etc/nginx/ssl/example.com/example.key; 

    # Enable OCSP Stapling, point to certificate chain 
    ssl_stapling on; 
    ssl_stapling_verify on; 
    ssl_trusted_certificate /etc/nginx/ssl/full_chain.pem; 

    } 

sicherstellen, dass die Zertifikate Ihre Wege entsprechen, und dann Speichern Sie Ihre Daten.

Testen Sie Ihre Konfiguration vor Neuladen ...

und zuletzt, neu starten oder Nginx neu laden, indem Sie eine der folgenden Befehle:

sudo service nginx reload 

oder

sudo service nginx restart 

Letzter Schritt, testen Sie Ihre OCSP Heften Sie über diesen Link, um sicherzustellen, dass Ihr SSL funktioniert oder nicht:

OCSP Stapling SSL Checker

Answer 2

Nginx unterstützt keine OCSP-Validierung von Clientzertifikaten. Die einzige Option zum Überprüfen von Clientzertifikaten besteht darin, CRLs zu verwenden, sie zu aktualisieren und Nginx neu zu laden, um die Änderungen zu übernehmen.

In diesem Thread ist einer der führenden Entwickler Nginx, dass bestätigt und sagt, dass niemand auf sie ab 2014 arbeitet: https://forum.nginx.org/read.php?2,238506,245962