Posso fazer automaticamente Nginx certificados de grampos OCSP no recarregamento / reinício?

5

Existe uma maneira de fazer os certificados de grampos OCSP do Nginx cada vez que sua configuração é recarregada ou é reiniciada? Alternativamente, o Nginx pode ser configurado para salvar os certificados grampeados em recarregamentos ou reinicializações, em vez de descartá-los? Recarregar ou reiniciar o Nginx aparece para limpar todos os certificados grampeados OCSP em cache.

Eu testei o grampeamento OSCP e trabalhei em um servidor Ubuntu 16.04.1 executando o Nginx 1.11.4 e usando Extensão de recurso TLS Must-Staple OCSP da Certbot . Meu problema é que, ao recarregar ou reiniciar o Nginx, a resposta grampeada não é salva e o primeiro visitante vê uma página de erro (esse é o resultado esperado para os certs "deve grampear" ainda não grampeados pelo servidor).

Eu tenho que visitar cada site hospedado pelo servidor e recarregá-los algumas vezes enquanto o Nginx automagicamente OCSP grampeia os certificados, então tudo começa a funcionar novamente até a próxima reinicialização. Gostaria de automatizar este passo ou evitá-lo completamente.

    
por Tom Brossman 30.09.2016 / 14:18

1 resposta

4

Esse artigo explica uma maneira de fazer isso: link

A ideia é buscar manualmente a resposta do OCSP e usar a diretiva ssl_stapling_file.

link explica em detalhes:

URL=$(openssl x509 -in $SERVER_CER -text | grep “OCSP – URI:” | cut -d: -f2,3)

openssl ocsp -noverify -no_nonce -respout ocsp.resp -issuer \ $ISSUER_CER -cert $SERVER_CER -url $URL

Where “ocsp.resp” is whatever file you have configured in Nginx for the “ssl_stapling_file“.

    
por 30.09.2016 / 16:03

Tags