Nginx; come utilizzare OCSP per verificare il certificato del client SSL

Question

Sto utilizzando Nginx per creare una connessione sicura; quando ho revocato il certificato client, posso anche connettermi a Nginx da https, so che dovrei configurare le direttive ssl_crl, ma voglio usare OCSP per verificare il certificato client, come devo fare? Ho trovato che Nginx utilizza la libreria OpenSSL per stabilire la connessione SSL, c'è qualcosa che dovrei fare con il file openssl.cnf?

Answer 1

questo è solo un esempio di come il codice dovrebbe essere simile nel blocco del server:

server { 

    # Listen on port 443 
    listen 443 default_server; 
    server_name example.com; 

    root /path/to/site-content/; 
    index index.html index.htm; 

    # Turn on SSL; Specify certificate & keys 
    ssl on; 
    ssl_certificate /etc/nginx/ssl/example.com/my_certificate.crt; 
    ssl_certificate_key /etc/nginx/ssl/example.com/example.key; 

    # Enable OCSP Stapling, point to certificate chain 
    ssl_stapling on; 
    ssl_stapling_verify on; 
    ssl_trusted_certificate /etc/nginx/ssl/full_chain.pem; 

    } 

assicurarsi che i certificati corrispondono ai percorsi, e quindi salvare il lavoro.

verificare la configurazione prima di ricaricare ...

e ultimo, riavviare o ricaricare Nginx da uno dei seguenti comandi:

sudo service nginx reload 

o

sudo service nginx restart 

fase finale, prova la tua OCSP Pinzatura tramite questo link per assicurarti che il tuo SSL funzioni o meno:

OCSP Stapling SSL Checker

Answer 2

Nginx non supporta la convalida OCSP dei certificati client. L'unica opzione per convalidare i certificati client è utilizzare i CRL, aggiornarli e ricaricare Nginx per applicare le modifiche.

In questa discussione uno dei principali sviluppatori di Nginx conferma che e dice che nessuno sta lavorando su di esso a partire dal 2014: https://forum.nginx.org/read.php?2,238506,245962