Nginxを使用して安全な接続を作成しています。私はクライアント証明書を取り消したときにhttpsでNginxにも接続できますが、ssl_crlディレクティブを設定する必要がありますが、OCSPを使用してクライアント証明書を確認したいのですが、どうすればいいですか?私はSSL接続を確立するためにOpenSSLライブラリを使用してNginxを見つけた、私はopenssl.cnfファイルで行う必要がありますか?Nginx; OCSPを使用してSSLクライアント証明書を確認する方法
これは、コードが、サーバーブロックでのように見えるべきかのほんの一例です:
server {
# Listen on port 443
listen 443 default_server;
server_name example.com;
root /path/to/site-content/;
index index.html index.htm;
# Turn on SSL; Specify certificate & keys
ssl on;
ssl_certificate /etc/nginx/ssl/example.com/my_certificate.crt;
ssl_certificate_key /etc/nginx/ssl/example.com/example.key;
# Enable OCSP Stapling, point to certificate chain
ssl_stapling on;
ssl_stapling_verify on;
ssl_trusted_certificate /etc/nginx/ssl/full_chain.pem;
}
は、証明書があなたのパスと一致して、作業を保存してください。
次のいずれかのコマンドでnginxのを再起動するか、リロード、...リロードする前に
と最後の設定をテストあなたのテスト、
sudo service nginx reload
または
sudo service nginx restart
最終段階OCSP SSLを有効にしているかどうかを確認するためにこのリンクをステイプルしてください:
Nginxはクライアント証明書のOCSP検証をサポートしていません。クライアント証明書を検証する唯一のオプションは、CRLを使用して更新し、Nginxを再ロードして変更を適用することです。このスレッドで
大手nginxの開発者の一人がそれを確認し、誰もが2014年としてそれに取り組んでいないことを言う: https://forum.nginx.org/read.php?2,238506,245962
OPはOCSPで** **クライアント証明書の検証について述べています。 OCSPステープルはこれとは完全に無関係です。 OCSPステープリングは、クライアント側でOCSP検証要求を保存することに関するものです。 – Proton