ძირითადი შინაარსიდან გადასვლა

OCSP stapling on nginx ერთად StartSSL სერთიფიკატი



OCSP პროტოკოლი საშუალებას გაძლევთ შეამოწმოთ SSL სერტიფიკატის სტატუსი. საიტის გახსნისას ბრაუზერი ცდილობს OCSP სერვერთან დაკავშირება და ამ სერტიფიკატის შესახებ ინფორმაციის მიღება. ეს გავლენას ახდენს ოპერაციის სიჩქარეზე, რადგან OCSP სერვერი შეიძლება ბევრად მეტი იყოს ვიდრე სერვერზე, სადაც განთავსებულია საიტი.

OCSP stapling საშუალებას აძლევს სერვერს OCSP პასუხების სერტიფიკატის გამცემი სერვერიდან. მას აქვს დადებითი გავლენა სამუშაოების სიჩქარეზე. ყოველივე ამის შემდეგ, ბრაუზერს აღარ სჭირდება დაკავშირება პირდაპირ გამომცემელი სერვერზე.



ზოგადად, იმისათვის, რომ გაეკეთებინათ ნიღაბი, საჭიროა გამომცემლის ძირეული სერტიფიკატი. მიმდინარე StartSSL root სერტიფიკატი შეგიძლიათ ჩამოტვირთოთ აქ: startsl.com/root . ამ შემთხვევაში, ჯერ უნდა შეხვიდეთ თქვენს ანგარიშზე.

მაგრამ პირდაპირ შეგიძლიათ ჩამოტვირთოთ:

  wget https://startssl.com/certs/ca.crt -O /etc/nginx/ssl/ca-startssl.crt 

შემდეგი, კონფიგურაციის საიტზე სერთიფიკატი საწყისი StartSSL (ან სერვერზე გლობალური კონფიგურაციის ფაილი, თუ ყველა საიტს აქვს სერთიფიკატი საწყისი StartSSL), ჩვენ წერენ პარამეტრი, რომელიც მოიცავს სტეპინგზე:


  ssl_stapling on; 

მაშინ პარამეტრი, რომელიც მითითებულია ძიების სერტიფიკატის შესახებ, რომელიც ადრე გადმოწერილი იყო:

  ssl_trusted_certificate /etc/nginx/ssl/ca-startssl.crt; 

ან ჩვენ შეგვიძლია კი მიუთითოთ root სერტიფიკატის გზა, რომელსაც გააჩნია openssl პაკეტი:

  ssl_trusted_certificate /etc/ssl/certs/StartCom_Certification_Authority.pem; 

და, რაც მთავარია, სერტიფიკატის ჯაჭვის გადამოწმების სიღრმე. ჩვეულებრივ, ეს პარამეტრი არის 1.


  ssl_verify_depth 3; 

იწყებს მინიმალური სიღრმისეული 3. ეს ამოწმებს ძიების სერტიფიკატს, სტარკო კომისის პირველი სერვერის CA სერვერის შუალედურ სერტიფიკატს და, პირდაპირ, თქვენი საიტის სერთიფიკატს. ამის გარეშე, სტეპინგი არ იმუშავებს.

ასევე ბევრ სტატიაში რეკომენდირებულია განსაზღვროს resolver პარამეტრი OCSP სერვერების IP- ს დასადგენად. მაგრამ ეს ჩემთვის არ არის განკუთვნილი. არ უნდა დაგვავიწყდეს, რომ ფაილის ცვლილებების შემდეგ ნიგასის განახლება. ;)

თქვენ შეგიძლიათ შეამოწმოთ ვებ-გვერდებზე არსებული სტატიის მართვა: https://www.digicert.com/help/ and https://ssllabs.com .



როგორ შეაფასებ სტატიას?
Звёзд: 1Звёзд: 2Звёзд: 3Звёзд: 4Звёзд: 5 (არა რეიტინგი)
იტვირთება ...

კომენტარის დამატება

თქვენი ელფოსტა არ გამოქვეყნდება.