Настройка OCSP Stapling в Nginx?

Question

[serious911]

Здравствуйте.

Получил SSL сертификат от китайской компании WoSign по инструкции с Хабра. Сертификат установил на связку Ubuntu+Nginx+Apache и судя по проверке на ssllabs все вроде работает.

Конфиг nginx для сайта:

server {
listen 80;
listen 443 ssl;

server_name site.net www.site.net;
access_log /var/www/public_html/site.net/logs/nginx_access.log;
error_log /var/www/public_html/site.net/logs/nginx_error.log;

access_log off;

#ssl on;
ssl_certificate /var/www/public_html/ssl/site.net.crt;
ssl_certificate_key /var/www/public_html/ssl/site.net.key;
ssl_protocols TLSv1 TLSv1.1 TLSv1.2;
#ssl_ciphers HIGH:!aNULL:!MD5;
ssl_ciphers "RC4:HIGH:!aNULL:!MD5:!kEDH";
ssl_session_cache shared:SSL:10m;
add_header Strict-Transport-Security "max-age=31536000; includeSubdomains;";

#OCSP
ssl_stapling on;
ssl_stapling_verify on;
ssl_trusted_certificate /var/www/public_html/ssl/private/ca-certs.pem;
#ssl_stapling_responder ocsp6.wosign.com/ca6/server1/free;
resolver 8.8.8.8 8.8.4.4 valid=300s;
resolver_timeout 5s;

................

location / {
proxy_pass 127.0.0.1:8080/;

### force timeouts if one of backend is died ##
proxy_next_upstream error timeout invalid_header http_500 http_502 http_503 http_504;

proxy_set_header X-Real-IP $remote_addr;
proxy_set_header X-Forwarded-for $remote_addr;
proxy_set_header Host $host;

proxy_connect_timeout 60;
proxy_send_timeout 90;
proxy_read_timeout 90;
proxy_redirect off;
proxy_set_header Connection close;
proxy_pass_header Content-Type;
proxy_pass_header Content-Disposition;
proxy_pass_header Content-Length;
}
}

Для избегания длительных обращений за подтверждением сертификата в Китай нужно настроить еще OCSP Stapling. Настройки делал как описано здесь, здесь и здесь. Обновил даже nginx до версий 1.6.4 (стабильная) и 1.7.10 (последняя). Пробовал также прикрутить 1-й вариант велосипеда как описано тут. Но ничего не помагает...

Команда ничего не выводит на экран консоли:

echo QUIT | openssl s_client -connect site.net:443 -status 2> /dev/null | grep -A 17 'OCSP response:' | grep -B 17 'Next Update'

Здесь я получаю такой ответ по OCSP:


А здесь такой:


В логах /var/www/public_html/site.net/logs/nginx_error.log также по OCSP ошибок нет.

Подскажите, пожалуйста, как правильно настроить OCSP в данном случае?

Спасибо.

Answer 1

[polozad]

ssl_trusted_certificate /var/www/public_html/ssl/private/ca-certs.pem;

Это просто пять. Вы трастовый сертификат в паблик положили?

Comments

[serious911]

несовсем понял...

Этот сертификат получил так:
wget -O - https://www.startssl.com/certs/ca.pem | tee -a ca-certs.pem > /dev/null
wget -O - https://www.startssl.com/certs/sub.class1.server.ca.pem | tee -a ca-certs.pem > /dev/null
wget -O - aia.startssl.com/certs/ca.crt | openssl x509 -inform DER -outform PEM | tee -a ca-certs.pem > /dev/null
wget -O - aia1.wosign.com/ca1g2-server1-free.cer | openssl x509 -inform DER -outform PEM | tee -a ca-certs.pem > /dev/null
wget -O - aia6.wosign.com/ca6.server1.free.cer | openssl x509 -inform DER -outform PEM | tee -a ca-certs.pem > /dev/null

Answer 2

[serious911]

появились новые детали :)

только-что настроил OCSP для сертификатов RapidSSL - все работает хорошо (получил OCSP stapling = Yes на SSL Labs), но с WoSign нет. Наверно проблема именно в их сертификатах.

Есть еще один момент... После успешной настройки OCSP RapidSSL на одном домене команда:

openssl s_client -connect site1.net:443 -tls1 -tlsextdebug -status

возвращает одинаковый ответ OCSP Data для разных доменов с разными сертификатами, но на сервере с одним IP.

OCSP Data для WoSign:

OCSP response: no response sent
depth=3 C = IL, O = StartCom Ltd., OU = Secure Digital Certificate Signing, CN = StartCom Certification Authority
verify error:num=19:self signed certificate in certificate chain
verify return:0