4 jul. 2022

NGINX - Habilitar Grapado OCSP (Stapling)

Lectura Previa:

• Grapado OCSP (stapling)
• Instalar Certificado SSL - NGINX

Habilitar grapado OCSP

1. Asegúrese de que NGINX 1.3.7 o superior esté instalado.
   
   nginx -v
2. Edite el archivo de configuración server block* para su sitio o nginx.conf si los bloques de servidor no se utilizan utilizando el editor de su elección (como nano o vi):
   
   nano /etc/nginx/sites-enabled/example.com-ssl.conf
   or
   nano /etc/nginx/nginx.conf
    
   *Si necesita habilitar el grapado OCSP en un solo bloque de servidor, debe ser el "default_server". Si necesita habilitar el grapado OCSP en más de un bloque de servidor, debe estar habilitado en el "default_server" antes de que se pueda habilitar en cualquier otro bloque de servidor.  
3. Activar el grapado OCSP:
   
   ssl_stapling on;
4. Habilite el servidor para comprobar OCSP:
   
   ssl_stapling_verify on;
5. Seleccione un archivo de cadena de certificados de confianza. Esto debe contener los Certificados intermedios y raíz (en ese orden de arriba a abajo).
    
   ssl_trusted_certificate /etc/nginx/ssl/full_chain.pem
   
   Utilice la configuración de ejemplo siguiente como referencia:  
    

   

6. Pruebe la configuración antes de volver a cargarla:
   
   sudo service nginx configtest
7. Reinicie el servicio NGINX si está bien:
   
   sudo service nginx reload
8. Verifique que el Grapado OCSP funciona comprobando su dominio con el Comprobador SSL de GlobalSign.