Есть ли способ сделать Nginx проактивно Сертификаты основного продукта OCSP каждый раз, когда его конфигурация перезагружается или перезапускается? В качестве альтернативы, можно ли настроить Nginx для сохранения скрепленных сертификатов при перезагрузках или перезапусках вместо их отбрасывания? Перезагрузка или перезапуск Nginx, похоже, очищает все кэшированные сшитые сертификаты OCSP.
Я протестировал сшивание OSCP и работаю на сервере Ubuntu 16.04.1 с Nginx 1.11.4 и использующим Обязательный продукт Certbot OCSP Расширение функции TLS. Моя проблема в том, что при перезагрузке или перезапуске Nginx сшитый ответ не сохраняется, и вместо этого первый посетитель видит страницу с ошибкой (это ожидаемый результат для сертификатов, которые еще не сшиты сервером).
Мне нужно посетить каждый веб-сайт, размещенный на сервере, и перезагрузить их пару раз, пока Nginx автоматически OCSP скрепляет сертификаты, а затем все снова начинает работать до следующего перезапуска. Я бы хотел автоматизировать этот шаг или вообще его избежать.
В этой статье объясняется, как это сделать: https://matthiasadler.info/blog/ocsp-stapling-on-nginx-with-comodo-ssl/
Идея состоит в том, чтобы вручную получить ответ OCSP и использовать директиву ssl_stapling_file.
https://unmitigatedrisk.com/?p=241 подробно объясняет это:
URL = $ (openssl x509 -in $ SERVER_CER -text | grep «OCSP - URI:» | cut -d: -f2,3)
openssl ocsp -noverify -no_nonce -respout ocsp.resp -issuer \ $ ISSUER_CER -cert $ SERVER_CER -url $ URL
Где «ocsp.resp» - это любой файл, который вы настроили в Nginx для «ssl_stapling_file».