5 de dez. de 2021

NGINX – Ativar o OCSP Stapling

Leitura Prévia:

• OCSP Stapling
• Instalar o certificado SSL - NGINX

Ativar o OCSP Stapling

1. Verifique se o NGINX 1.3.7 ou superior está instalado.
   
   nginx -v
   
    
2. Edite o arquivo de configuração do bloco do servidor* para o seu site ou nginx.conf se os blocos do servidor não forem utilizados usando o editor de sua escolha (como nano ou vi)
   
   nano /etc/nginx/sites-enabled/example.com-ssl.conf
   or
   nano /etc/nginx/nginx.conf
   
   * Se precisar habilitar o OCSP Stapling em apenas um bloco de servidor, nesse caso deverá ser o "default_server". Se você precisar ativar o OCSP Stapling em mais de um bloco de servidor, ele deverá ser ativado no "default_server" antes de poder ser ativado em qualquer outro bloco de servidor.  
    
3. Ative o OCSP Stapling:
   
   ssl_stapling on;
    
4. Habilite o servidor para verificar o OCSP :
   
   ssl_stapling_verify on;
    
5. Aponte para um arquivo de cadeia de certificados confiável. Deve conter os certificados intermediários e raíz (nessa ordem, de cima para baixo).
   ssl_trusted_certificate /etc/nginx/ssl/full_chain.pem
   
    
6. Use a configuração de exemplo abaixo como referência:  

  server {

   # Listen on port 443
   listen   443 default_server;
   server_name example.com;

   root /path/to/site-content/;
   index index.html index.htm;

   # Turn on SSL; Specify certificate & keys
   ssl on;
   ssl_certificate /etc/nginx/ssl/example.com/my_certificate.crt;
   ssl_certificate_key /etc/nginx/ssl/example.com/example.key;

   # Enable OCSP Stapling, point to certificate chain
   ssl_stapling on;
   ssl_stapling_verify on;
   ssl_trusted_certificate /etc/nginx/ssl/full_chain.pem;

  }

 

7. Teste a sua configuração antes de recarregar:
   sudo service nginx configtest
    
8. Reinicie o serviço NGINX se estiver OK:
   sudo service nginx reload
9. Verifique se o OCSP está funcionando, verificando o seu domínio com o Verificador SSL da GlobalSign.