在Debian系统上配置SSL以使用OCSP(在线证书状态协议)可以帮助确保您的SSL/TLS证书保持有效,并能够实时检查证书的吊销状态。以下是详细的步骤指南:
首先,确保您已经安装了openssl和ocsp相关的软件包。您可以使用以下命令来安装它们:
sudo apt update
sudo apt install openssl ocsp
假设您已经有一个SSL证书和私钥文件。通常,这些文件位于/etc/ssl/certs/和/etc/ssl/private/目录下。
创建一个OCSP响应器的配置文件,例如/etc/ssl/ocsp/ocsp.conf,并添加以下内容:
basicConstraints = CA:FALSE
keyCompensation = enabled
ocsp_must_staple = yes
使用openssl创建一个OCSP响应器证书。您需要一个CA证书和私钥来签署OCSP响应器证书。
# 生成OCSP响应器私钥
openssl genpkey -algorithm RSA -out ocsp.key -aes256
# 创建OCSP响应器证书签名请求(CSR)
openssl req -new -key ocsp.key -out ocsp.csr -subj "/C=US/ST=State/L=City/O=Organization/CN=OCSP Responder"
# 使用CA证书和私钥签署CSR
openssl x509 -req -in ocsp.csr -CA /etc/ssl/certs/ca-certificates.crt -CAkey /etc/ssl/private/ca.key -CAcreateserial -out ocsp.crt -days 365 -sha256
将OCSP响应器证书和私钥复制到适当的位置,并确保它们具有正确的权限:
sudo cp ocsp.crt /etc/ssl/certs/
sudo cp ocsp.key /etc/ssl/private/
sudo chmod 600 /etc/ssl/private/ocsp.key
编辑您的SSL服务器配置文件(例如/etc/apache2/sites-available/default-ssl.conf或/etc/nginx/sites-available/default),添加OCSP Stapling相关的配置。
在<VirtualHost>块中添加以下内容:
SSLUseStapling on
SSLStaplingCache "shmcb:/var/run/ocsp(128000)"
在server块中添加以下内容:
ssl_stapling on;
ssl_stapling_verify on;
resolver 8.8.8.8 8.8.4.4 valid=300s;
resolver_timeout 5s;
最后,重启您的Web服务器以应用更改。
sudo systemctl restart apache2
sudo systemctl restart nginx
您可以使用openssl命令来验证OCSP Stapling是否正常工作:
openssl s_client -connect yourdomain.com:443 -tls1_2 -tlsextdebug
在输出中查找OCSP response部分,如果看到OCSP响应,则说明OCSP Stapling配置成功。
通过以上步骤,您应该能够在Debian系统上成功配置SSL以使用OCSP Stapling。