9 июл. 2025 г.

NGINX - включение OCSP Stapling

Предыдущие шаги: 

• OCSP Stapling  

• Установка SSL-сертификата - Apache 
   

Включение OCSP Stapling 

1. Убедитесь, что установлена версия NGINX 1.3.7 или выше. 
   nginx -v 

2. Отредактируйте файл конфигурации блока сервера* для вашего сайта или nginx.conf, если блоки серверов не используются, с помощью предпочитаемого редактора (например, nano или vi): 

   nano /etc/nginx/sites-enabled/example.com-ssl.conf 
   или 
   nano /etc/nginx/nginx.conf 

   *Если вам нужно включить OCSP stapling только для одного блока сервера, он должен быть "default_server". Если нужно включить OCSP stapling для нескольких блоков сервера, это должно быть включено на "default_server" перед тем, как его можно будет включить на других блоках сервера. 

3. Включите OCSP stapling: ​​​​​​​
   ssl_stapling on; 

4. Включите проверку OCSP сервером: ​​​​​​​
   ssl_stapling_verify on; 

5. Укажите путь к файлу цепочки доверенных сертификатов. Этот файл должен содержать промежуточный и корневой сертификаты (в таком порядке, сверху вниз). 

    ssl_trusted_certificate /etc/nginx/ssl/full_chain.pem 

   Ниже приведен пример конфигурации:​​​​​​​
   

6. Проверьте вашу конфигурацию перед перезагрузкой:​​​​​​​
   sudo service nginx configtest 

7. Перезапустите службу NGINX, если все в порядке: ​​​​​​​
   sudo service nginx reload 

8. Убедитесь, что OCSP Stapling работает, проверив свой домен с помощью GlobalSign's SSL Checker.