11 февр. 2025 г.

NGINX - включение сшивки OCSP

Предыдущее чтение: 

• Сшивание OCSP 

• Установка SSL-сертификата - NGINX 

 

Включение OCSP Stapling 

1. Убедитесь, что установлен NGINX 1.3.7 или выше. 
   nginx -v 

2. Отредактируйте файл конфигурации серверных блоков* для вашего сайта или nginx.conf, если серверные блоки не используются, используя редактор по вашему выбору (например, nano или vi): 

   nano /etc/nginx/sites-enabled/example.com-ssl.conf 
   или 
   nano /etc/nginx/nginx.conf 

   *Если вам нужно включить сшивание OCSP только на одном серверном блоке, это должен быть «default_server». Если вам нужно включить OCSP stapling на более чем одном серверном блоке, он должен быть включен на «default_server», прежде чем его можно будет включить на любом другом серверном блоке.  

3. Включите сшивание OCSP: 
   ssl_stapling on; 

4. Включите на сервере проверку OCSP: 
   ssl_stapling_verify on; 

5. Укажите на файл доверенной цепочки сертификатов. Он должен содержать промежуточный и корневой сертификаты (в таком порядке сверху вниз). 

    ssl_trusted_certificate /etc/nginx/ssl/full_chain.pem 

   Используйте пример конфигурации, приведенный ниже: 
   

6. Проверьте свою конфигурацию перед перезагрузкой: 
   sudo service nginx configtest 

7. Перезапустите службу NGINX, если все в порядке: 
   sudo service nginx reload 

8. Убедитесь, что OCSP Stapling работает, проверив свой домен с помощью GlobalSign's SSL Checker.