Aktiver OCSP stapling på Nginx

OCSP Stapling er mulig fra Nginx version 1.3.7.

For at få OCSP stapling til at fungere korrekt, skal Nginx have et korrekt installeret certifikat og en fil med tilhørende root- og mellemcertifikater. Sørg derfor for, at certifikatet er korrekt installeret. Dette kan kontrolleres med SSLCheck.

Det er også vigtigt, at webserveren kan nå OCSP responderne, hvor serveren henter OCSP statusen. Disse er angivet i certifikatet og kan hentes på følgende måde:

Windows

Åbn certifikatet ved at dobbeltklikke på det og gå til fanen Details. Scroll til Authority Information Access eller adgang til CA data. Her finder du en OCSP – URI eller online status af certifikatet med adressen til OCSP responder af CAen. For eksempel URL=http://ocsp.thawte.com

Linux

Læs certifikatet med OpenSSL med kommandoen:
openssl x509 -in uwcertificaat.crt -text

Søg efter OCSP – URI: i output. Den her nævnte adresse er fra OCSP reponderen. For eksempel URL=http://ocsp.thawte.com.

Test, om din webserver kan nå denne adresse med den nævnte protokol. Baseret på ovenstående eksempel gøres dette via en browser (Windows) eller wget-kommandoen (Linux).

Konfiguration

Når du er sikker på den korrekte drift af certifikatet kæden og tilgængeligheden af ​​OCSP responderen, kan du derefter oprette en fil med de tilsvarende mellemliggende og rodcertifikater og tilføje følgende linjer til Nginx konfiguration for at aktivere OCSP stapling.

Aktiver OCSP stapling:
ssl_stapling on;

Aktiver verifikation af OCSP svaret:
ssl_stapling_verify on;

Angiv den nøjagtige placering af filen med mellem- og rodcertifikaterne:
ssl_trusted_certificate /path/to/cert_chain.pem

Angiv om nødvendigt en DNS server. I eksemplet nedenfor bruger vi de offentlige Google DNS servere:
resolver 8.8.8.8 8.8.4.4 valid=300s;
resolver_timeout 5s;