在Debian上配置Nginx以支持OCSP Stapling可以增强SSL/TLS连接的安全性。OCSP Stapling允许Nginx服务器直接从证书颁发机构(CA)获取证书的撤销状态信息,而不是让客户端去查询CA服务器。这样可以减少客户端的延迟并提高隐私保护。
以下是配置Nginx以支持OCSP Stapling的步骤:
首先,确保你已经安装了Nginx和相关的软件包。
sudo apt update
sudo apt install nginx
你需要获取你的证书链文件,包括中间证书和根证书。通常,这些文件可以从你的证书颁发机构(CA)获取。
假设你已经有了以下文件:
your_domain.crt (你的服务器证书)intermediate.crt (中间证书)root.crt (根证书)你可以将这些文件合并成一个文件:
sudo cat intermediate.crt root.crt > fullchain.crt
编辑Nginx配置文件,通常位于 /etc/nginx/nginx.conf 或 /etc/nginx/sites-available/your_domain。
sudo nano /etc/nginx/sites-available/your_domain
在 server 块中添加或修改以下配置:
server {
listen 443 ssl;
server_name your_domain.com;
ssl_certificate /path/to/your_domain.crt;
ssl_certificate_key /path/to/your_domain.key;
ssl_trusted_certificate /path/to/fullchain.crt;
ssl_stapling on;
ssl_stapling_verify on;
# 可选:设置OCSP Stapling的缓存时间
ssl_stapling_cache max=1024k active=64k inactive=2048k expire=60s;
# 其他SSL配置...
}
保存并关闭文件后,检查Nginx配置是否正确:
sudo nginx -t
如果没有错误,重启Nginx以应用更改:
sudo systemctl restart nginx
你可以使用 openssl 命令来验证OCSP Stapling是否正常工作:
openssl s_client -connect your_domain.com:443 -tls1_2 -tlsextdebug
在输出中查找 OCSP response 部分,如果看到OCSP Stapling的响应,说明配置成功。
通过以上步骤,你应该能够在Debian上成功配置Nginx以支持OCSP Stapling。