鉴于Let's Encrypt日益成熟,请转向: 使用Let’s Encrypt的Certbot为ngxin生成ECDSA证书 在CentOS 6 的LNMP服务器上部署Let’s Encrypt的SSL证书
CentOS 6.5 64位,nginx 1.9.9,StartSSL的1年免费服务器证书,OpenSSL运行库。
1.查看是否已经启用OCSP stapling(否),同时或者证书颁发者的名字(StartCom Class 1 DV Server CA),有两个网站,任选其一,digicert速度较快。
1.1 Qualys
测试后,得到两个信息:
一是没有启用OCSP stapling:
OCSP stapling No
二是得到证书颁发者的名称:
Issuer StartCom Class 1 DV Server CA
1.2 digicert
测试后,得到两个信息:
一是没有启用OCSP stapling:
OCSP Staple: Not Enabled
二是得到中间证书(INTERMEDIATE CERTIFICATE)的名称:
Subject StartCom Class 1 DV Server CA
2.获得StartSSL根证书和中间证书的下载地址。
打开StartSSL证书网站,如下,并找到pem格式的证书。
https://www.startssl.com/root
2.1点击“Root CA Certificates”,找到根证书ca.crt(pem),得到下载地址,不用下载:
https://www.startssl.com/certs/ca.pem
2.2点击“Intermediate CA Certificates”,进入中间证书下载地址,第一步中已经知道中间证书的名称:“Class 1 DV SSL certificate”,可以找到“StartCom Class 1 DV Server CA(pem)(SHA-2)”,获得下载地址,不用下载:
https://www.startssl.com/certs/sca.server1.crt
3.下载并将根证书和中间证书合并
进入自己管理证书或者喜欢的地方,比如:
cd /etc/ssl/
输入以下命令,已经改好了根证书和中间证书的下载地址,命令参考了digitalocean这篇文章,ca-certs.pem可以改为自己喜欢的名字。
wget -O - https://www.startssl.com/certs/ca.pem https://www.startssl.com/certs/sca.server1.crt | tee -a ca-certs.pem> /dev/null
获得ca-certs.pem文件,如下:
/etc/ssl/ca-certs.pem
4.编辑nginx的配置文件,在SSL相关字段中输入,如下:
ssl_stapling on;
ssl_stapling_verify on;
ssl_trusted_certificate /etc/nginx/starssl/ca-certs.pem;
:wq,保存退出编辑器。
5.重启nginx
service nginx restart
6.重复第一步的测试,这时OCSP stapling功能已经顺利开启。