在CentOS6.5基于nginx1.9.9和StartSSL证书建立的SSL服务器上启用OCSP stapling的简单方法

鉴于Let's Encrypt日益成熟,请转向:
使用Let’s Encrypt的Certbot为ngxin生成ECDSA证书
在CentOS 6 的LNMP服务器上部署Let’s Encrypt的SSL证书

CentOS 6.5 64位,nginx 1.9.9,StartSSL的1年免费服务器证书,OpenSSL运行库。

1.查看是否已经启用OCSP stapling(否),同时或者证书颁发者的名字(StartCom Class 1 DV Server CA),有两个网站,任选其一,digicert速度较快。

1.1 Qualys
测试后,得到两个信息:
一是没有启用OCSP stapling:
OCSP stapling No
二是得到证书颁发者的名称:
Issuer StartCom Class 1 DV Server CA

1.2 digicert
测试后,得到两个信息:
一是没有启用OCSP stapling:
OCSP Staple: Not Enabled
二是得到中间证书(INTERMEDIATE CERTIFICATE)的名称:
Subject StartCom Class 1 DV Server CA

2.获得StartSSL根证书和中间证书的下载地址。
打开StartSSL证书网站,如下,并找到pem格式的证书。
https://www.startssl.com/root

2.1点击“Root CA Certificates”,找到根证书ca.crt(pem),得到下载地址,不用下载:

https://www.startssl.com/certs/ca.pem

2.2点击“Intermediate CA Certificates”,进入中间证书下载地址,第一步中已经知道中间证书的名称:“Class 1 DV SSL certificate”,可以找到“StartCom Class 1 DV Server CA(pem)(SHA-2)”,获得下载地址,不用下载:

https://www.startssl.com/certs/sca.server1.crt

3.下载并将根证书和中间证书合并
进入自己管理证书或者喜欢的地方,比如:

cd /etc/ssl/

输入以下命令,已经改好了根证书和中间证书的下载地址,命令参考了digitalocean这篇文章,ca-certs.pem可以改为自己喜欢的名字。

wget -O - https://www.startssl.com/certs/ca.pem https://www.startssl.com/certs/sca.server1.crt | tee -a ca-certs.pem> /dev/null

获得ca-certs.pem文件,如下:

/etc/ssl/ca-certs.pem

4.编辑nginx的配置文件,在SSL相关字段中输入,如下:

ssl_stapling on;
ssl_stapling_verify on;
ssl_trusted_certificate /etc/nginx/starssl/ca-certs.pem;

:wq,保存退出编辑器。

5.重启nginx

service nginx restart

6.重复第一步的测试,这时OCSP stapling功能已经顺利开启。

发表回复

您的电子邮箱地址不会被公开。 必填项已用 * 标注