亚洲乱码中文字幕综合,中国熟女仑乱hd,亚洲精品乱拍国产一区二区三区,一本大道卡一卡二卡三乱码全集资源,又粗又黄又硬又爽的免费视频

Nginx 啟用 OCSP Stapling的配置

 更新時(shí)間:2018年03月27日 10:19:40   作者:南琴浪博客  
本篇文章主要介紹了Nginx 啟用 OCSP Stapling的配置,小編覺(jué)得挺不錯(cuò)的,現(xiàn)在分享給大家,也給大家做個(gè)參考。一起跟隨小編過(guò)來(lái)看看吧

這里,我將介紹什么是 OCSP Stapling 以及為什么要開(kāi)啟它。

在線證書(shū)狀態(tài)協(xié)議(Online Certificate Status Protocol),簡(jiǎn)稱 OCSP,是一個(gè)用于獲取 X.509 數(shù)字證書(shū)撤銷狀態(tài)的網(wǎng)際協(xié)議,在 RFC 6960 中定義。OCSP 用于檢驗(yàn)證書(shū)合法性,查詢服務(wù)一般由證書(shū)所屬 CA 提供。OCSP 查詢的本質(zhì),是一次完整的 HTTP 請(qǐng)求加響應(yīng)的過(guò)程,這中間涵括的 DNS 查詢、建立 TCP 連接、Web 端工作等步驟,都將耗費(fèi)更多時(shí)間,使得建立 TLS 花費(fèi)更多時(shí)長(zhǎng)。

而這時(shí),OCSP Stapling 出現(xiàn)了。經(jīng)由 OCSP Stapling(OCSP 封套),Web 端將主動(dòng)獲取 OCSP 查詢結(jié)果,并隨證書(shū)一起發(fā)送給客戶端,以此讓客戶端跳過(guò)自己去尋求驗(yàn)證的過(guò)程,提高 TLS 握手效率。

生成 OCSP Stapling 文件

經(jīng)過(guò)以下步驟生成所需的用于 OCSP Stapling 驗(yàn)證的文件

首先,需要準(zhǔn)備三份證書(shū):

站點(diǎn)證書(shū)(website.pem)+ 根證書(shū)(root.pem)+ 中間證書(shū)(intermediate.pem)

中間證書(shū)和根證書(shū),需要根據(jù)你的證書(shū)的 CA,去下載對(duì)應(yīng)的證書(shū)

以下列出了 Let's Encrypt 的中間證書(shū)和根證書(shū)的下載地址:

根證書(shū):
DST Root CA X3 https://ssl-tools.net/certificates/dac9024f54d8f6df94935fb1732638ca6ad77c13.pem
ISRG Root X1 https://letsencrypt.org/certs/isrgrootx1.pem

中間證書(shū):
Let's Encrypt Authority X1 https://letsencrypt.org/certs/lets-encrypt-x1-cross-signed.pem
Let's Encrypt Authority X2 https://letsencrypt.org/certs/lets-encrypt-x2-cross-signed.pem
Let's Encrypt Authority X3 https://letsencrypt.org/certs/lets-encrypt-x3-cross-signed.pem
Let's Encrypt Authority X4 https://letsencrypt.org/certs/lets-encrypt-x4-cross-signed.pem

這里以 DST Root CA X3 根證書(shū) + Let's Encrypt Authority X3 中間證書(shū) 為例(現(xiàn)在 Let's Encrypt 簽發(fā)的證書(shū)基本都是這樣的組合):

# 下載根證書(shū)和中間證書(shū)
wget -O root.pem https://ssl-tools.net/certificates/dac9024f54d8f6df94935fb1732638ca6ad77c13.pem
wget -O intermediate.pem https://letsencrypt.org/certs/lets-encrypt-x3-cross-signed.pem

# 生成 OCSP Stapling 驗(yàn)證文件
# 注意,中間證書(shū)在上、根證書(shū)在下
cat cat intermediate.pem > chained.pem
cat root.pem >> chained.pem

這樣,生成的 chained.pem 就是所需的 OCSP Stapling 驗(yàn)證文件。

OCSP Stapling Response

openssl x509 -in website.pem -noout -ocsp_uri

使用這個(gè)命令后,返回你的證書(shū)對(duì)應(yīng)的 OCSP 服務(wù)地址

例如,Let's Encrypt 現(xiàn)在的 OCSP 服務(wù)地址是 http://ocsp.int-x3.letsencrypt.org/

以 Let's Encrypt 為例,獲取站點(diǎn)證書(shū)的 OCSP Response

openssl ocsp -no_nonce \
  -issuer intermediate.pem \
  -CAfile chained.pem \
  -VAfile chained.pem \
  -cert website.pem \
  -url http://ocsp.int-x3.letsencrypt.org \
  -text

若沒(méi)有錯(cuò)誤,會(huì)返回如下:

Response verify OK
website.pem: good
This Update: Oct 24 00:00:41 2017 GMT
Next Update: Oct 31 00:00:41 2017 GMT

Nginx 啟用 OCSP Stapling

ssl_stapling on;
ssl_stapling_verify on;
ssl_trusted_certificate ~/chained.pem;
resolver 208.67.222.222 valid=300s;
resolver_timeout 5s;

然后重啟 Nginx,就成功啟用 OCSP Stapling 了

OCSP Stapling Status

復(fù)制代碼 代碼如下:

openssl s_client -connect sometimesnaive.org:443 -status -tlsextdebug < /dev/null 2>&1 | grep -i "OCSP response"

若站點(diǎn)已成功啟用 OCSP Stapling,會(huì)返回以下

OCSP response:
OCSP Response Data:
  OCSP Response Status: successful (0x0)
  Response Type: Basic OCSP Response

若返回這個(gè),明顯就是失敗了

OCSP response: no response sent

也可以訪問(wèn) ssllabs 進(jìn)行 SSL 測(cè)試,其中也能看到 OCSP Stapling 開(kāi)啟與否的報(bào)告。

以上就是本文的全部?jī)?nèi)容,希望對(duì)大家的學(xué)習(xí)有所幫助,也希望大家多多支持腳本之家。

相關(guān)文章

  • SQL操作Pandas?DataFrame的三種方式示例詳解

    SQL操作Pandas?DataFrame的三種方式示例詳解

    這篇文章主要為大家介紹了SQL操作Pandas?DataFrame的三種方式示例詳解,有需要的朋友可以借鑒參考下,希望能夠有所幫助,祝大家多多進(jìn)步,早日升職加薪
    2023-08-08
  • 利用nginx實(shí)現(xiàn)動(dòng)靜分離的負(fù)載均衡集群實(shí)戰(zhàn)教程

    利用nginx實(shí)現(xiàn)動(dòng)靜分離的負(fù)載均衡集群實(shí)戰(zhàn)教程

    這篇文章介紹了利用nginx實(shí)現(xiàn)動(dòng)靜分離的負(fù)載均衡集群實(shí)戰(zhàn),本次用到的操作系統(tǒng)及服務(wù),本次實(shí)驗(yàn)一共需要3臺(tái)服務(wù)器,一臺(tái)nginx做為負(fù)載均衡分發(fā)器和動(dòng)靜分離的分發(fā)器,兩臺(tái)apache做為后端服務(wù)器,使用nginx實(shí)現(xiàn)兩臺(tái)apache服務(wù)器的負(fù)載均衡和動(dòng)靜分離,需要的朋友可以參考下
    2023-03-03
  • Nginx隱藏server頭信息的實(shí)現(xiàn)

    Nginx隱藏server頭信息的實(shí)現(xiàn)

    本文主要介紹了Nginx隱藏server頭信息的實(shí)現(xiàn),文中通過(guò)示例代碼介紹的非常詳細(xì),對(duì)大家的學(xué)習(xí)或者工作具有一定的參考學(xué)習(xí)價(jià)值,需要的朋友們下面隨著小編來(lái)一起學(xué)習(xí)學(xué)習(xí)吧
    2023-01-01
  • nginx安裝完成無(wú)法解析php解決方法

    nginx安裝完成無(wú)法解析php解決方法

    大家好,本篇文章主要講的是nginx安裝完成無(wú)法解析php解決方法,感興趣的同學(xué)趕快來(lái)看一看吧,對(duì)你有幫助的話記得收藏一下,方便下次瀏覽
    2021-12-12
  • Nginx跨域設(shè)置Access-Control-Allow-Origin無(wú)效的解決辦法

    Nginx跨域設(shè)置Access-Control-Allow-Origin無(wú)效的解決辦法

    今天小編就為大家分享一篇關(guān)于Nginx跨域設(shè)置Access-Control-Allow-Origin無(wú)效的解決辦法,小編覺(jué)得內(nèi)容挺不錯(cuò)的,現(xiàn)在分享給大家,具有很好的參考價(jià)值,需要的朋友一起跟隨小編來(lái)看看吧
    2019-02-02
  • Nginx配置負(fù)載均衡時(shí)訪問(wèn)地址無(wú)法生效的解決方法

    Nginx配置負(fù)載均衡時(shí)訪問(wèn)地址無(wú)法生效的解決方法

    本文主要介紹了Nginx配置負(fù)載均衡時(shí)訪問(wèn)地址無(wú)法生效的解決方法,例如負(fù)載均衡策略的設(shè)置是否正確、是否存在拼寫錯(cuò)誤等,下面就來(lái)詳細(xì)的介紹一下,感興趣的可以了解一下
    2023-09-09
  • Nginx HTTP:413 Request Entity Too Large解決方法

    Nginx HTTP:413 Request Entity Too Large解決方法

    這篇文章主要介紹了Nginx HTTP:413 Request Entity Too Large解決方法,這個(gè)問(wèn)題需要修改PHP配置以及Nginx配置才可以解決,需要的朋友可以參考下
    2015-07-07
  • nginx獲取真實(shí)的ip的方法

    nginx獲取真實(shí)的ip的方法

    在實(shí)際應(yīng)用中,我們可能需要獲取用戶的ip地址,比如做異地登陸的判斷等等,本文主要介紹了nginx獲取真實(shí)的ip的方法,具有一定的參考價(jià)值,感興趣的可以了解一下
    2023-08-08
  • Debian下搭建Nginx和Tomcat服務(wù)器實(shí)現(xiàn)負(fù)載均衡的方案

    Debian下搭建Nginx和Tomcat服務(wù)器實(shí)現(xiàn)負(fù)載均衡的方案

    這篇文章主要介紹了Debian下搭建Nginx和Tomcat服務(wù)器實(shí)現(xiàn)負(fù)載均衡的方案,其主要思想依然是動(dòng)靜分離并且以Nginx來(lái)進(jìn)行反向代理這樣的路子,需要的朋友可以參考下
    2015-12-12
  • 使用Nginx反向代理與proxy_cache緩存搭建CDN服務(wù)器的配置方法

    使用Nginx反向代理與proxy_cache緩存搭建CDN服務(wù)器的配置方法

    linux下通過(guò)Nginx反向代理和proxy_cache緩存搭建CDN服務(wù)器加快Web訪問(wèn)速度的配置方法
    2013-06-06

最新評(píng)論