Nginx 关于 OCSP 的调试部署

最新推荐文章于 2025-05-23 13:27:21 发布
最新推荐文章于 2025-05-23 13:27:21 发布
阅读量2.7k 收藏 2
点赞数
CC 4.0 BY-SA版权
分类专栏: nginx
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/myarche/article/details/110664255

因为某些浏览器的原因,可能我们需要为证书配置 OCSP 。

花了一下午进行调试和整理,现在已经成功,现在写下心得。

证书是在 PositiveSSL 购买的,也就是现在的 Comodo 证书。

如何生成 csr 并生成密钥,并购买证书,因为教程比较多,这里就不在阐述了。

一般我们购买证书之后,在邮件或者等地方都可以下载到我们需要的证书文件,常见的压缩包里会包含两个:

doamin.crt  也就是我们的域名网站证书

domain.ca-bundle 捆绑证书,包含根证书和中间证书。

当然如果没有中间证书,我们也可以在购买的对应证书官网下载,比如 comodo :https://support.sectigo.com/Com_KnowledgeDetailPage?Id=kA01N000000rfBO

我们来看一下该页面对中间证书的介绍,因为我们使用的是个人域名申请,所以这里就只看 Domain Validation 这一栏

Domain Validation

[Download] Sectigo RSA Domain Validation Secure Server CA [ Intermediate ] 为中间证书
[Download ] USERTrust RSA Root xSigned using AAA CA [ Cross Signed ] 为交叉签名
(Or)
[Download] Sectigo RSA DV Bundle [ Intermediate + Cross Signed ] 顾名思义,就是以上两个的合并文件。

其实我们下载上面的捆绑证书,然后在使用我们的域名证书合并在一起也就生成了完整的证书链:


                

        

    

    
  


        

            

                      
                        最低0.47元/天 解锁文章
                        

                          
200万优质内容无限畅学

                          
                        

                      
            

        


    



                



	

		

			

				
					
OCSP环境搭建--Windows Server 2016

				
			

			

				

					CsdnCHong_566的博客
				

				

					03-18
					
					2795
					
				

			

		

		

			
				
OCSP环境搭建--Windows Server 2016



一. OCSP环境中相关信息

1. 服务器1


 操作系统:Win Server 2016 Standard版

 IP地址:172.16.0.19/23,网关:172.16.0.1,首选DNS:127.0.0.1

 服务器角色:域控制器、证书颁发机构、radius服务器、DNS服务器
...

			
		

	



                

            
              



	

		

			

				
					
内网OCSP创建和部署指南

				
			

			

				

					weixin_33734785的博客
				

				

					09-08
					
					1624
					
				

			

		

		

			
				
准备创建需要的环境1.1创建环境简介 
Linux或window...

			
		

	



              


  
              

                


	

		

			

				
					
CentOS8使用gmssl搭建demoCA及配置OCSP服务

				
			

			

				

					MARS_098的博客
				

				

					09-26
					
					2935
					
				

			

		

		

			
				
本文档以CentOS8 + GmSSL2.5.4版本为例
1、GmSSL搭建CA
1.1  安装GmSSL
我们知道,Linux下默认只有openssl的发行版,并没有默认安装GmSSL,所以需要手动下载并编译安装。而GmSSL的大部分功能时基于openssl的,所以不能再使用动态编译安装,否则会导致链接冲突。
GmSSL的官方配置文档链接:关于GmSSL
可以参考官方的步骤,但需要注意的是,需要加上一个no-shared的选项,以使用静态编译安装。安装的时候选择合适的目录安装,示例文件夹为/usr/loc

			
		

	





	

		

			

				
					
【SSL部署与优化​】​​OCSP Stapling配置指南:减少证书验证延迟​​

					
最新发布

				
			

			

				

					DZ Space
				

				

					05-23
					
					979
					
				

			

		

		

			
				
本文详细介绍了如何在 Nginx 和 Apache 服务器上启用 OCSP Stapling,以减少证书验证延迟并提升 HTTPS 性能。OCSP Stapling 的核心原理是服务器定期从 CA 获取 OCSP 响应并缓存,在 TLS 握手时直接发送给客户端,从而避免客户端单独查询 CA。文章分别提供了 Nginx 和 Apache 的配置步骤,包括修改配置文件、创建缓存目录、手动触发 OCSP 响应获取、设置自动更新任务以及重启服务器。此外,还介绍了如何验证 OCSP Stapling 是否生效,并列举

			
		

	



		

			
		



	

		

			

				
					
Nginx 启用 OCSP Stapling的配置

				
			

			

				

					01-10
				

			

		

		

			
				
这里,我将介绍什么是 OCSP Stapling 以及为什么要开启它。
在线证书状态协议(Online Certificate Status Protocol),简称 OCSP,是一个用于获取 X.509 数字证书撤销状态的网际协议,在 RFC 6960 中定义。OCSP 用于检验证书合法性,查询服务一般由证书所属 CA 提供。OCSP 查询的本质,是一次完整的 HTTP 请求加响应的过程,这中间涵括的 DNS 查询、建立 TCP 连接、Web 端工作等步骤,都将耗费更多时间,使得建立 TLS 花费更多时长。

而这时,OCSP Stapling 出现了。经由 OCSP Stapling(OC

			
		

	





	

		

			

				
					
Nginx与HTTPS卸载:SSL/TLS终止点详解

				
			

			

				

					墨夶的博客
				

				

					02-09
					
					1417
					
				

			

		

		

			
				
通过使用 Nginx 进行 HTTPS 卸载和 SSL/TLS 终止,可以显著提高网站的安全性和性能。本文详细介绍了从生成和管理 SSL/TLS 证书到配置 Nginx 作为终止点的过程,并通过实际案例展示了完整的集成方案。希望这些内容能够帮助你更好地理解和应用 Nginx SSL/TLS 终止技术,构建高效、安全的 Web 应用!以上内容涵盖了 Nginx SSL/TLS 终止的基本概念、配置方法、实际案例分析以及最佳实践。如果你对某个具体部分感兴趣,欢迎进一步提问!

			
		

	





	

		

			

				
					
【SSL_TLS证书转换与部署】:Nginx中的实用操作指南

				
			

			

				

					
				

			

		

		

			
				
[【SSL_TLS证书转换与部署】:Nginx中的实用操作指南](https://webapplicationconsultant.com/wp-content/uploads/OCSP-Stapling-1200x350-c-default.png)  # 摘要 SSL/TLS证书是保障网络安全的关键技术,本论文详细...

			
		

	





	

		

			

				
					
深入解析nginx-1.8.0版本特性与优化

				
			

			

				

					
				

			

		

		

			
				
3. **SSL/TLS性能提升**:Nginx 1.8.0增强了对SSL/TLS的支持,包括改进了对TLS 1.1和TLS 1.2的支持,以及更好的OCSP stapling功能。这可以提高网站的安全性,同时避免性能瓶颈。  4. **模块改进**:此版本可能包含对...

			
		

	





	

		

			

				
					
Nginx 1.14.17与VS2005编译兼容性分析

				
			

			

				

					
				

			

		

		

			
				
根据给定的文件信息,我们可以看到涉及的主要知识点是关于nginx和vs2005的编译过程。...理解这些知识点有助于在Windows环境下成功地配置和部署nginx服务器,同时也展现了开源软件和专业开发工具之间的紧密配合。

			
		

	





	

		

			

				
					
comodo 证书购买部署

				
			

			

				

					myarche的博客
				

				

					11-08
					
					2223
					
				

			

		

		

			
				
在本地使用 KeyManager 生成了公钥和密钥,然后按照 name要求申请了 comodo 的 SSL 证书服务。

域名 DNS 使用的 cloudfalre ,然后进行了邮件验证。

认证后收到了 comodo 发来的邮件供下载证书。



然后按照以下顺序捆绑文件

服务器命令


cat SectigoRSADomainValidationSecureServerCA.crt USE...

			
		

	





	

		

			

				
					
nginx配置SSL常见的问题

				
			

			

				

					jimbooks的博客
				

				

					11-01
					
					4016
					
				

			

		

		

			
				
如果浏览不顺畅请到原文章出处:https://www.sky8g.com/technology/500/

请注意可能会提示风险,这是csdn官网如果不是他们的网址,其他的网址都会提示有风险,这是CSDN网站设置的问题,请放心访问,无需担心。谢谢。

原文章出处:https://www.sky8g.com/technology/500/

在安装nginx证书的时候出现的错误

[root@123...

			
		

	





	

		

			

				
					
网络安全证书 from Sectigo

				
			

			

				

					qq2224949439的博客
				

				

					06-14
					
					678
					
				

			

		

		

			
				
Sectigo是数字证书颁发机构Sectigo RSA Domain Validation Secure Server CA,前身是comodo旗下目前根证书采用的交叉链技术实现主流浏览器信任支持,属于入门型SSL证书颁发机构,也是目前数字证书行业廉价SSL证书位数第一,该机构可以颁发DV域名型,OV及EV企业型的SSL证书。DV及OV旗下分为:单域名、多域名、通配符、多域名通配符四种类型。EV旗下分为:单域名和多域名。DV签发时间最快,目前Gworg可以实现自助申请一般几分钟就可以完成签发。OV和EV最快

			
		

	





	

		

			

				
					
Nginx报错host not found in upstream解决办法

					
热门推荐

				
			

			

				

					a7442358的专栏
				

				

					06-21
					
					1万+
					
				

			

		

		

			
				
如果依照报错去找答案,肯定会是找www.test.com是否真的能ping通,但是这个场景肯定无效,等服务器起来的时候,你ping www.test.com一定能ping通,因为这个解析就在你自己的服务器上,这也是为什么服务器启动起来之后,操作nginx不会再报错。但是在服务器启动起来之前,ping www.test.com,因为服务器还未启动起来(未验证nginx的启动顺序是否比网络更早)。当初配置完成的时候,启动nginx并没有问题,但是重启系统之后,nginx却是启动不起来,报错为。

			
		

	





	

		

			

				
					
Nginx https性能优化

				
			

			

				

					zzhongcy的专栏
				

				

					09-18
					
					1万+
					
				

			

		

		

			
				
1、影响HTTPS速度的主要原因:

   众周所知网站启用https后,会加剧服务器的负担。传统的http使用TCP三次握手建立连接,而SSL和TLS在这个基础上还需要9个握手包,所以这个负担显而易见。

1.1 密钥交换算法

常见的密钥交换算法有RSA,ECDHE,DH,DHE等算法。它们的特性如下:

RSA:算法实现简单,诞生于 1977 年,历史悠久,经过了长时间的破解测试,...

			
		

	





	

		

			

				
					
密码学系列之:在线证书状态协议OCSP详解

				
			

			

				

					程序那些事 
				

				

					07-06
					
					3248
					
				

			

		

		

			
				
我们在进行网页访问的时候会跟各种各样的证书打交道,比如在访问https网页的时候,需要检测https网站的证书有效性。OCSP就是一种校验协议,用于获取X.509数字证书的撤销状态。它是为了替换CRL而出现的。本文将会详细介绍OCSP的实现和优点。我们知道在PKI架构中,CA证书是非常重要的组件,客户端通过CA证书来验证服务的可靠性。对于CA证书本身来说在创建的时候是可以指定过期时间的。这样证书在过期之后就不可以使用,需要申请新的证书。但是只给证书指定过期时间是不够的,比如我们因为业务的需求,需要撤销证书怎

			
		

	





	

		

			

				
					
nginx报错upstream prematurely closed connection while reading response header from upstream

				
			

			

				

					mr_zhongjie的博客
				

				

					09-10
					
					6427
					
				

			

		

		

			
				
今天出现了一个这样的问题
nginx报错upstream prematurely closed connection while reading response header from upstream
导致这样的问题原因是,上游服务器阻塞了,没有响应,然后导致接口无法连接,从nginx内部看http的tcp并没有建立连接或者只是完成3次挥手的一半,然后服务器一直没有响应syn标记导致
发现这样的问题之后,我的上游服务器使用的是uwsgi,于是我看了看我的uwsgi报错日志
invalid request

			
		

	





	

		

			

				
					
【学习】cheapsslsecurity SSL证书未过期,但控制台访问显示过期

				
			

			

				

					二黑黑黑
				

				

					06-04
					
					843
					
				

			

		

		

			
				
一、背景
近期,我遇到一个很奇怪的问题,wget https://xxx.com/xxx.apk(自家公司的apk)时显示证书过期,大吃一惊,因为ssl证书我都有程序对其可用日期进行监控,一看还有80多天,就是显示过期。果然,一问证书供应商,说是根证书过期了。其实也不要担心,遇到此问题的朋友们,根证书过期只会对apache和nginx使用ssl的产生影响,浏览器其他的访问是没问题滴。接下来就跟大家分享一下如何使得域名https恢复正常。

二、步骤
1.如上图所示,我跟证书供应商提了工单他已经说的很清楚了,

			
		

	





	

		

			

				
					
数字证书OCSP查询响应内容实例分析

				
			

			

				

					ryanzzzzz的博客
				

				

					06-25
					
					1478
					
				

			

		

		

			
				
OBJECT IDENTIFIER:responseType,这里值为1.3.6.1.5.5.7.48.1.1(OCSP),含义如下。ENUMERATED:reponseStatus响应状态,这里为0(successful)。OCTET STRING:response,是basicOCSPResponse对象的DER编码,具体定义如下。可以看到第一个SEQUENCE对应是ResponseData,逐层定义为。因此,可以将OCTET STRING这部分内容截取出来,再单独分析。

			
		

	



              




          




        



    





    



      

      

        
      

      





	

		评论	
	

  
	




  

    

      添加红包
      
    

    

      

        
        

          
          
        

        
请填写红包祝福语或标题

      

      

        
        

          
          
        

        
红包个数最小为10个

      

      

        
        

          
          
        

        
红包金额最低5元

      

      

        
        

          当前余额3.43前往充值 >
        

      

      

        

          需支付:10.00

        
        
      

    

  





  

    
    
  

  

    
    
  








  

    

      

        

          

            
            
成就一亿技术人!

          

          

        

        

          

          

            领取后你会自动成为博主和红包主的粉丝
            规则
          

        

      

      

        

          

            
              
            
            

              
hope_wisdom
 发出的红包
            

          

        

        

          

          

          

        

      

    

    

  



      
      

      
实付

      
使用余额支付

      

        

          

            
            点击重新获取
          

        

        
扫码支付

      

      

        
          
            
          
          
        
      

      

        
        钱包余额
          0
          

            
            

              

                
抵扣说明:

                
 1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
 2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

              

            

          

      

      余额充值