暗号化しよう - nginx - OCSPステープル留め

2024-06-26 • tag-icon

私はnginxサーバーでOCSPステープルを有効にしたいと思います。私はそれを使用しています

nginx バージョン: nginx/1.6.2
Debian
証明書を暗号化しよう

私はこの問題について実際に経験がないので、これはマイナーな質問かもしれません。

これは私のnginxセキュリティ設定です。

    ssl_protocols TLSv1 TLSv1.1 TLSv1.2;
    ssl_prefer_server_ciphers on;
    ssl_session_cache shared:SSL:10m;
    ssl_dhparam /etc/ssl/private/dhparams_4096.pem;

個人用サイト/サーバーのセキュリティ構成は次のとおりです。

    add_header Strict-Transport-Security "max-age=31536000; includeSubdomains; preload";

    # All files have been generated by Let's encrypt
    ssl_certificate /etc/letsencrypt/live/myexample.org/fullchain.pem;
    ssl_certificate_key /etc/letsencrypt/live/myexample.org/privkey.pem;

    # Everything below this line was added to enable OCSP stapling
    # What is that (generated file) and is that required at all?
    ssl_trusted_certificate /etc/letsencrypt/live/myexample.org/chain.pem;

    ssl_stapling on;
    ssl_stapling_verify on;
    resolver 8.8.8.8 8.8.4.4 valid=300s;
    resolver_timeout 5s;

私はこれがOCSPステープル留めを有効にするのに十分であることを読んだ。

しかし、私がそれを使ってテストした場合

 openssl s_client -connect myexample.org:443 -tls1 -tlsextdebug -status

次のような回答が届きます。

TLS server extension "renegotiation info" (id=65281), len=1
0001 - <SPACES/NULS>
TLS server extension "EC point formats" (id=11), len=4
0000 - 03 00 01 02                                       ....
TLS server extension "session ticket" (id=35), len=0
TLS server extension "heartbeat" (id=15), len=1
0000 - 01                                                .
OCSP response: no response sent
depth=1 C = US, O = Let's Encrypt, CN = Let's Encrypt Authority X1
verify error:num=20:unable to get local issuer certificate
verify return:0
---
Certificate chain
 0 s:/CN=myexample.org
   i:/C=US/O=Let's Encrypt/CN=Let's Encrypt Authority X1
 1 s:/C=US/O=Let's Encrypt/CN=Let's Encrypt Authority X1
   i:/O=Digital Signature Trust Co./CN=DST Root CA X3
---
[...]

特に

OCSP response: no response sent

私は何が間違っていましたか？

証明書階層：

DSTルートCA X3
- 権限を暗号化しよう X1
  - myexample.org

編集する：

OCSP: URI: http://ocsp.int-x1.letsencrypt.org/
CA-Issuer: URI: http://cert.int-x1.letsencrypt.org/

ベストアンサー1

ssl_trusted_certificate標準のnginx設定に従ってチェーンを指定する必要はありません。次のもので十分です。

ssl_certificate /etc/letsencrypt/live/myexample.org/fullchain.pem;
ssl_certificate_key /etc/letsencrypt/live/myexample.org/privkey.pem;
ssl_stapling on;
ssl_stapling_verify on;

バラよりここ詳細な背景情報をご覧ください。

ベストアンサー1

おすすめ記事