我正在使用Nginx来创build一个安全的连接; 当我吊销客户端证书时,我也可以通过https连接到Nginx,我知道我应该configurationssl_crl指令,但是我想用OCSP来validation客户端证书,我该怎么办? 我发现Nginx使用OpenSSL库build立ssl连接,有什么我应该做openssl.cnf文件?
Nginx不支持客户端证书的OCSP验证。 验证客户端证书的唯一选择是使用CRL,更新它们并重新加载Nginx以应用更改。
在这个主题中,领先的Nginx开发者之一证实了这一点,并表示,截至2014年,没有人正在开发它: https : //forum.nginx.org/read.php?2,238506,245962
这只是代码在你的服务器模块中的样子:
server { # listn on port 443 listen 443 default_server; server_name example.com; root /path/to/site-content/; index index.html index.htm; # Turn on SSL; Specify certificate & keys ssl on; ssl_certificate /etc/nginx/ssl/example.com/my_certificate.crt; ssl_certificate_key /etc/nginx/ssl/example.com/example.key; # Enable OCSP Stapling, point to certificate chain ssl_stapling on; ssl_stapling_verify on; ssl_trusted_certificate /etc/nginx/ssl/full_chain.pem; } 确保证书符合您的路径,然后保存您的工作。
在重新加载之前测试您的配置…
最后,通过以下任一命令重新启动或重新加载Nginx:
sudo service nginx reload
要么
sudo service nginx restart
最后一步,通过此链接测试您的OCSP Stapling,以确保您的SSL正在运行或不运行:
OCSP装订SSL检查器