Letsencrypt 인증서 OCSP stapling 성공기
컨텐츠 정보
- 13,321 조회
- 9 댓글
- 0 추천
- 목록
본문
https://letsencrypt.org/certificates/
여기서 root 인증서도 받고
openssl ocsp -CAfile root.pem -verify_other chain.pem -issuer chain1.pem -cert cert1.pem -no_nonce -text -url http://ocsp.int-x3.letsencrypt.org/ -header "HOST" "ocsp.int-x3.letsencrypt.org"
위 명령어로 OCSP 반응도 성공으로 바꼈는데...
OCSP Request Data:
Version: 1 (0x0)
Requestor List:
Certificate ID:
Hash Algorithm: sha1
Issuer Name Hash: ...
Issuer Key Hash: ...
Serial Number: ...
OCSP Response Data:
OCSP Response Status: successful (0x0)
Response Type: Basic OCSP Response
Version: 1 (0x0)
Responder Id: C = US, O = Let's Encrypt, CN = Let's Encrypt Authority X3
Produced At: Sep 12 23:19:00 2016 GMT
Responses:
Certificate ID:
Hash Algorithm: sha1
Issuer Name Hash: ...
Issuer Key Hash: ...
Serial Number: ...
Cert Status: good
This Update: Sep 12 23:00:00 2016 GMT
Next Update: Sep 19 23:00:00 2016 GMT
Signature Algorithm: sha256WithRSAEncryption
...
Response verify OK
cert1.pem: good
This Update: Sep 12 23:00:00 2016 GMT
Next Update: Sep 19 23:00:00 2016 GMT
위와 같이 나오면 성공이죠.
그런데
openssl s_client -connect yoursite.com:443 -servername yoursite.com -status -tlsextdebug < /dev/null 2>&1 | grep -i "OCSP response"
위와 같이 검증해보면
OCSP response: no response sent
반응이 없네요 ㅠㅠ 으헉..
이젠 포기네요. ㅎㅎ
------------------------------------------------------------
2016.09.18 09:56 Updated
지금 홈페이지에 설치하고
ssl_stapling on;
ssl_stapling_verify on;
resolver 8.8.8.8 8.8.4.4 valid=86400;
resolver_timeout 10;
위와 같이 트러스트 인증서 없이 진행했는데 OK 떴습니다. ㅎㅎ
아무래도 제대로 된 서버면 다 OK 되는 듯 합니다.
따로 작업은 안해도 되네요 ^^;;
-------------------------------------------------------------
2016.09.19 03:36 Updated
더 찾아보니
ssl_trusted_certificate /.../chain.pem;
이게 맞다고 하네요 ^^. 방금 적용해서 테스트해보니 바로 됩니다. ㅎㅎ
https://community.letsencrypt.org/t/howto-ocsp-stapling-for-nginx/13611/6
-
등록일 2020.10.10그누보드 SMTP 외부메일 설정하는 방법댓글 26
-
등록일 2020.10.03그누보드5에 실시간 채팅 구축하기댓글 13
-
등록일 2020.09.26
-
등록일 2020.09.24도커로 메일서버 구축하기댓글 4
관련자료
-
서명우성짱의 NAS를 운영하고 있습니다.
저의 즐거움이 여러분의 즐거움이면 좋겠습니다.
-
링크