Gostaria de utilizar o grampeamento OCSP para certificados SSL em meus servidores Linux que executam o Apache httpd e o Nginx. Tanto o Nginx quanto o Apache, por padrão, querem acessar diretamente o respondente do OCSP.
No entanto, meus servidores estão localizados atrás de um balanceador de carga usando o retorno direto do servidor / roteamento direto, então meus hosts têm um endereço IP público configurado e recebem e respondem ao tráfego de entrada nesses IPs públicos, mas meus servidores não podem usar esses endereços públicos IPs para conexões novas e originárias. Os servidores estão sendo executados em uma rede privada (espaço IP não público) e não têm acesso à Internet pública via NAT, mas por meio de um proxy HTTP.
De uma perspectiva de segurança, isso está perfeitamente bem. Eu não quero introduzir NAT na rede apenas por causa do grampeamento OCSP e estou perfeitamente bem para usar um proxy HTTP para solicitações OCSP (que são HTTP de qualquer maneira).
A "melhor" solução para mim é simplesmente onde configurar o Apache / Nginx para usar o proxy HTTP para acessar os respondentes do OCSP - mas, até onde eu vejo, não há opção para isso.
As opções mais próximas que encontrei são
Todas essas opções não parecem muito boas para mim e têm desvantagens severas (o netfilter-NAT é baseado em IP; sempre que o IP de destino do respondedor ocsp muda, eu terei que ajustar minhas regras) - eu perder mais alternativas razoáveis ou as opções de configuração "certas" no Apache ou no Nginx?
Você pode tentar isso: link
When set, the stapled OCSP response will be taken from the specified file instead of querying the OCSP responder specified in the server certificate.
The file should be in the DER format as produced by the “openssl ocsp” command.
Tags nginx linux apache-2.4