如何在 Apache 和 Nginx 上配置 OCSP Stapling

简介: 如何在 Apache 和 Nginx 上配置 OCSP Stapling

简介

OCSP stapling 是一个旨在提高 SSL 协商性能并保持访问者隐私的 TLS/SSL 扩展。在继续配置之前,先简要介绍一下证书吊销的工作原理。本文将使用 StartSSL 颁发的免费证书进行演示。

本教程将使用以下 Apache 和 Nginx 的基本配置:

  • 如何在 Ubuntu 12.04 上使用 Apache 设置多个 SSL 证书
  • 如何在 Ubuntu 12.04 上使用 Nginx 设置多个 SSL 证书

关于 OCSP

OCSP(在线证书状态协议)是一种用于检查 SSL 证书是否被吊销的协议。它被创建作为 CRL 的替代方案,以减少 SSL 协商时间。使用 CRL(证书吊销列表),浏览器会下载一份吊销证书序列号的列表并验证当前证书,这会增加 SSL 协商时间。在 OCSP 中,浏览器发送请求到 OCSP URL 并接收包含证书有效性状态的响应。以下截图显示了 digitalocean.com 的 OCSP URI。

!OCSP URI

关于 OCSP stapling

OCSP 有两个主要问题:隐私和 CA 服务器的重负载。

由于 OCSP 需要浏览器联系 CA 来确认证书的有效性,这会损害隐私。CA 知道正在访问的网站以及谁在访问。

如果一个 HTTPS 网站有大量访问者,CA 的 OCSP 服务器必须处理所有访问者发出的 OCSP 请求。

当实现了 OCSP stapling 时,证书持有者(即 Web 服务器)自己查询 OCSP 服务器并缓存响应。这个响应通过 TLS/SSL 握手与 证书状态请求 扩展响应“装订”在一起。因此,CA 的服务器不再承担请求的负担,浏览器也不再需要向任何第三方披露用户的浏览习惯。

检查 OCSP stapling 支持

OCSP stapling 支持以下平台:

  • Apache HTTP 服务器(>=2.3.3)
  • Nginx(>=1.3.7)

在继续之前,请使用以下命令检查您的安装版本。

Apache:

apache2 -v

Nginx:

nginx -v

对于 CentOS/Fedora 用户,请将 apache2 替换为 httpd

检索 CA 绑定

以 PEM 格式检索根 CA 和中间 CA 的证书,并将它们保存在一个文件中。这是针对 StartSSL 的根和中间 CA 证书。

cd /etc/ssl
wget -O - https://www.startssl.com/certs/ca.pem https://www.startssl.com/certs/sub.class1.server.ca.pem | tee -a ca-certs.pem> /dev/null

如果您的 CA 提供 DER 格式的证书,请将其转换为 PEM。例如,DigiCert 提供 DER 格式的证书。要下载并转换为 PEM,请使用以下命令:

cd /etc/ssl
wget -O - https://www.digicert.com/CACerts/DigiCertHighAssuranceEVRootCA.crt | openssl x509 -inform DER -outform PEM | tee -a ca-certs.pem> /dev/null
wget -O - https://www.digicert.com/CACerts/DigiCertHighAssuranceEVCA-1.crt | openssl x509 -inform DER -outform PEM | tee -a ca-certs.pem> /dev/null

这两组命令都使用 tee 写入文件,因此如果以非 root 用户登录,可以使用 sudo tee

在 Apache 上配置 OCSP Stapling

编辑 SSL 虚拟主机文件,并将以下行放置在 <VirtualHost></VirtualHost> 指令内部。

sudo nano /etc/apache2/sites-enabled/example.com-ssl.conf
SSLCACertificateFile /etc/ssl/ca-certs.pem
SSLUseStapling on

必须在 <VirtualHost></VirtualHost> 之外指定缓存位置。

sudo nano /etc/apache2/sites-enabled/example.com-ssl.conf
SSLStaplingCache shmcb:/tmp/stapling_cache(128000)

如果您按照本文设置 Apache 上的 SSL 站点,虚拟主机文件将如下所示:

/etc/apache2/sites-enabled/example.com-ssl.conf

<IfModule mod_ssl.c>
    SSLStaplingCache shmcb:/tmp/stapling_cache(128000)
    <VirtualHost *:443>
            ServerAdmin webmaster@localhost
            ServerName example.com
            DocumentRoot /var/www
            SSLEngine on
            SSLCertificateFile /etc/apache2/ssl/example.com/apache.crt
            SSLCertificateKeyFile /etc/apache2/ssl/example.com/apache.key
            SSLCACertificateFile /etc/ssl/ca-certs.pem
            SSLUseStapling on
    </VirtualHost>
</IfModule>

执行 configtest 检查错误。

apachectl -t

如果显示 Syntax OK,则重新加载。

service apache2 reload

在 IE(Vista 及以上版本)或 Firefox 26+ 上访问网站,并检查错误日志。

tail /var/log/apache2/error.log

如果在 SSLCACertificateFile 指令中定义的文件丢失,将显示类似以下错误的证书错误。

[Fri May 09 23:36:44.055900 2014] [ssl:error] [pid 1491:tid 139921007208320] AH02217: ssl_stapling_init_cert: Can't retrieve issuer certificate!
[Fri May 09 23:36:44.056018 2014] [ssl:error] [pid 1491:tid 139921007208320] AH02235: Unable to configure server certificate for stapling

如果没有显示此类错误,请继续进行最后一步。

在 Nginx 上配置 OCSP Stapling

编辑 SSL 虚拟主机文件,并将以下指令放置在 server {} 部分内。

sudo nano /etc/nginx/sites-enabled/example.com.ssl
ssl_stapling on;
ssl_stapling_verify on;
ssl_trusted_certificate /etc/ssl/private/ca-certs.pem;

如果您按照本文设置了 Nginx 上的 SSL 主机,完整的虚拟主机文件将如下所示:

/etc/nginx/sites-enabled/example.com.ssl

server {
        listen   443;
        server_name example.org;
        root /usr/share/nginx/www;
        index index.html index.htm;
        ssl on;
        ssl_certificate /etc/nginx/ssl/example.org/server.crt;
        ssl_certificate_key /etc/nginx/ssl/example.org/server.key;
        ssl_stapling on;
        ssl_stapling_verify on;
        ssl_trusted_certificate /etc/ssl/private/ca-certs.pem;
}

执行 configtest 命令以查看是否一切正确。

service nginx configtest

然后重新加载 nginx 服务。

service nginx reload

在 IE(Vista 及以上版本)或 Firefox 26+ 上访问网站,并检查错误日志。

tail /var/log/nginx/error.log

如果在 ssl_trusted_certificate 中定义的文件缺少证书,则会显示类似以下错误:

2014/05/09 17:38:16 [error] 1580#0: OCSP_basic_verify() failed (SSL: error:27069065:OCSP routines:OCSP_basic_verify:certificate verify error:Verify error:unable to get local issuer certificate) while requesting certificate status, responder: ocsp.startssl.com

如果没有显示此类错误,则继续下一步。

测试 OCSP Stapling

将解释两种方法来测试 OCSP stapling 是否正常工作 - openssl 命令行工具和 Qualys 的 SSL 测试。

OpenSSL 命令

此命令的输出显示一个部分,指示您的 Web 服务器是否响应了 OCSP 数据。我们使用 grep 来筛选特定部分并显示它。

echo QUIT | openssl s_client -connect www.digitalocean.com:443 -status 2> /dev/null | grep -A 17 'OCSP response:' | grep -B 17 'Next Update'

www.digitalocean.com 替换为您的域名。如果 OCSP stapling 正常工作,则会显示以下输出。

OCSP response:
======================================
OCSP Response Data:
    OCSP Response Status: successful (0x0)
    Response Type: Basic OCSP Response
    Version: 1 (0x0)
    Responder Id: 4C58CB25F0414F52F428C881439BA6A8A0E692E5
    Produced At: May  9 08:45:00 2014 GMT
    Responses:
    Certificate ID:
      Hash Algorithm: sha1
      Issuer Name Hash: B8A299F09D061DD5C1588F76CC89FF57092B94DD
      Issuer Key Hash: 4C58CB25F0414F52F428C881439BA6A8A0E692E5
      Serial Number: 0161FF00CCBFF6C07D2D3BB4D8340A23
    Cert Status: good
    This Update: May  9 08:45:00 2014 GMT
    Next Update: May 16 09:00:00 2014 GMT

如果 OCSP stapling 未正常工作,则不会显示任何输出。

Qualys 在线 SSL 测试

要在线检查,请转到此网站并输入您的域名。测试完成后,请在 Protocol Details 部分检查。


目录
相关文章
|
18天前
|
缓存 前端开发 JavaScript
终极 Nginx 配置指南(全网最详细)
本文详细介绍了Nginx配置文件`nginx.conf`的基本结构及其优化方法。首先通过删除注释简化了原始配置,使其更易理解。接着,文章将`nginx.conf`分为全局块、events块和http块三部分进行详细解析,帮助读者更好地掌握其功能与配置。此外,还介绍了如何通过简单修改实现网站上线,并提供了Nginx的优化技巧,包括解决前端History模式下的404问题、配置反向代理、开启gzip压缩、设置维护页面、在同一IP上部署多个网站以及实现动静分离等。最后,附上了Nginx的基础命令,如安装、启动、重启和关闭等操作,方便读者实践应用。
214 84
终极 Nginx 配置指南(全网最详细)
|
17小时前
|
存储 Apache 开发工具
apache的主要目录结构及常见的配置选项的详细说明(图例展示)
apache的主要目录结构及常见的配置选项的详细说明(图例展示)
|
7天前
|
JavaScript 应用服务中间件 开发工具
vue尚品汇商城项目-day07【53.nginx反向代理配置】
vue尚品汇商城项目-day07【53.nginx反向代理配置】
18 4
|
7天前
|
缓存 应用服务中间件 nginx
nginx如何配置?配置项都是什么意思?
nginx如何配置?配置项都是什么意思?
21 1
|
10天前
|
应用服务中间件 nginx Docker
docker应用部署---nginx部署的配置
这篇文章介绍了如何使用Docker部署Nginx服务器,包括搜索和拉取Nginx镜像、创建容器并设置端口映射和目录映射,以及如何创建一个测试页面并使用外部机器访问Nginx服务器。
|
1月前
|
应用服务中间件 nginx
一文搞定Nginx配置RTMP!
一文搞定Nginx配置RTMP!
63 3
|
1月前
|
Ubuntu 应用服务中间件 数据库
Nginx配置:阻止非国内IP地址访问的设置方法
此外,出于用户隐私和法律合规性的考虑,应慎重考虑阻止特定国家或地区IP地址的决策。在某些情况下,这可能被视为歧视性或违反当地法律。
54 2
|
10天前
|
应用服务中间件 nginx 索引
7-15|Nginx配置
7-15|Nginx配置
|
2月前
|
Ubuntu 应用服务中间件 Linux
在Linux中,如何配置Web服务器(如Apache或Nginx)?
在Linux中,如何配置Web服务器(如Apache或Nginx)?
|
2月前
|
缓存 负载均衡 应用服务中间件
【揭秘】nginx代理配置全攻略:从零到精通,一文带你玩转高效网络代理的秘密武器!
【8月更文挑战第22天】nginx是一款高性能的HTTP与反向代理服务器,支持代理服务、负载均衡及缓存等功能,有助于提升网站响应速度和安全性。首先需确保已安装nginx,可通过包管理器进行安装。安装后启动并确认nginx运行状态。接着编辑配置文件(通常位于`/etc/nginx/nginx.conf`),设置代理转发规则,例如指定目标服务器地址和请求头信息。配置完成后测试有效性并重新加载nginx以应用更改。可以通过部署简易HTTP服务器验证代理功能是否正常工作。此外,还可以通过扩展配置文件实现更复杂的代理需求,如基于路径的代理和SSL加密等。
312 2

推荐镜像

更多
下一篇
无影云桌面