我已经生成了如下所示的证书:
Root-CA -> Intermediate-CA -> Server
Root-CA:
rootca.key
rootca.crt
Intermediate-CA:
intermediateca.key
intermediateca.crt
Server:
server.key
server.crt
我的服务器的 openssl.conf:
[ server_cert ]
authorityInfoAccess = OCSP;URI:http://www.example.com
[ ocsp ]
basicConstraints = CA:FALSE
subjectKeyIdentifier = hash
authorityKeyIdentifier = keyid,issuer
keyUsage = critical, digitalSignature
extendedKeyUsage = critical, OCSPSigning
我的 Nginx 配置:
server {
listen 443 ssl;
listen [::]:443 SSL;
server_name www.example.com;
ssl_certificate /home/user/conffiles/server+intermediateca.crt;
ssl_certificate_key /home/user/conffiles/server.key;
ssl_ocsp on;
ssl_stapling on;
ssl_stapling_verify on;
ssl_trusted_certificate /home/user/conffiles/rootca+intermediateca.crt;
}
使用以下命令没有得到任何输出:
echo QUIT | openssl s_client -connect www.example.com:443 -status 2> /dev/null | grep -A 17 'OCSP response:' | grep -B 17 'Next Update'
使用以下命令:
openssl s_client -connect www.example.com:443 -tls1_2 -tlsextdebug -status
我得到以下输出:
OCSP response: no response sent
有人能告诉我如何设置 OCSP 响应器吗?
请帮助我,我需要修复这个错误。感谢您的时间。谢谢。
答案1
如何设置 OCSP 响应器?
维基百科列出了几种 OSCP 响应器的实现这里. 每个服务器都有各自特定的安装和配置说明。
为了测试目的openssl ocsp
实现可能是一个有用的轻量级解决方案。
手册列出了几个使用示例,包括:
OCSP 服务器在端口 8888 上使用标准 CA 配置和单独的响应者证书。所有请求和响应都打印到文件中。
openssl ocsp -index demoCA/index.txt -port 8888 -rsigner rcert.pem -CA demoCA/cacert.pem -text -out log.txt
如上所述,但在处理一个请求后退出:
openssl ocsp -index demoCA/index.txt -port 8888 -rsigner rcert.pem -CA demoCA/cacert.pem -nrequest 1