Я хотел бы использовать сшивание OCSP для сертификатов SSL на моих веб-серверах Linux, на которых запущены Apache httpd и Nginx. Однако и Nginx, и Apache по умолчанию хотят иметь прямой доступ к респонденту OCSP.
Однако мои веб-серверы расположены за балансировщиком нагрузки с использованием прямой обратной / прямой маршрутизации сервера, поэтому на моих хостах настроен общедоступный IP-адрес, и они принимают и отвечают на входящий трафик на этих общедоступных IP-адресах, но мои серверы не могут использовать эти общедоступные IP-адреса для новых , исходящие соединения. Серверы работают в частной (непубличное IP-пространство) сети и не имеют доступа к общедоступному Интернету через NAT, а через HTTP-прокси.
С точки зрения безопасности это нормально. Я не хочу вводить NAT в сети только ради сшивания OCSP, и я вполне могу использовать HTTP-прокси для запросов OCSP (которые в любом случае являются HTTP).
«Лучшее» решение для меня - просто настроить Apache / Nginx для использования прокси-сервера HTTP для доступа к респондентам OCSP - но, насколько я понимаю, для этого нет никакой возможности.
Ближайшие варианты, с которыми я столкнулся, - это
Все эти параметры мне кажутся не очень хорошими и имеют серьезные недостатки (netfilter-NAT основан на IP; всякий раз, когда IP-адрес назначения ответчика ocsp изменяется, мне придется корректировать свои правила) - пропустил ли я что-нибудь еще разумные альтернативы или «правильные» параметры конфигурации в Apache или Nginx?
Вы можете попробовать это: http://nginx.org/en/docs/http/ngx_http_ssl_module.html#ssl_stapling_file
Если установлено, сшитый ответ OCSP будет взят из указанного файла вместо запроса ответчика OCSP, указанного в сертификате сервера.
Файл должен быть в формате DER, созданном командой «openssl ocsp».
Начиная с Apache 2.4.19, это напрямую поддерживается Apache.
Просто установите директиву SSLOCSPProxyURL в вашей конфигурации Apache, чтобы указать на ваш HTTP-прокси, например:
SSLUseStapling on
SSLOCSPProxyURL http://my-outgoing-proxy.example:3128/