작업실

Letsencrypt 인증서 OCSP stapling 성공기

https://letsencrypt.org/certificates/ 

 

여기서 root 인증서도 받고

 

 

openssl ocsp -CAfile root.pem -verify_other chain.pem -issuer chain1.pem -cert cert1.pem -no_nonce -text -url http://ocsp.int-x3.letsencrypt.org/ -header "HOST" "ocsp.int-x3.letsencrypt.org" 

 

위 명령어로 OCSP 반응도 성공으로 바꼈는데...

 

OCSP Request Data:

    Version: 1 (0x0)

    Requestor List:

        Certificate ID:

          Hash Algorithm: sha1

          Issuer Name Hash: ...

          Issuer Key Hash: ...

          Serial Number: ...

OCSP Response Data:

    OCSP Response Status: successful (0x0)

    Response Type: Basic OCSP Response

    Version: 1 (0x0)

    Responder Id: C = US, O = Let's Encrypt, CN = Let's Encrypt Authority X3

    Produced At: Sep 12 23:19:00 2016 GMT

    Responses:

    Certificate ID:

      Hash Algorithm: sha1

      Issuer Name Hash: ...

      Issuer Key Hash: ...

      Serial Number: ...

    Cert Status: good

    This Update: Sep 12 23:00:00 2016 GMT

    Next Update: Sep 19 23:00:00 2016 GMT

 

    Signature Algorithm: sha256WithRSAEncryption

         ...

Response verify OK

cert1.pem: good

        This Update: Sep 12 23:00:00 2016 GMT

        Next Update: Sep 19 23:00:00 2016 GMT

 

위와 같이 나오면 성공이죠.

 

 

그런데

 

openssl s_client -connect yoursite.com:443 -servername yoursite.com -status -tlsextdebug < /dev/null 2>&1 | grep -i "OCSP response" 

 

위와 같이 검증해보면

 

OCSP response: no response sent 

 

반응이 없네요 ㅠㅠ 으헉..

 

이젠 포기네요. ㅎㅎ

 

 

 

------------------------------------------------------------

 

2016.09.18 09:56 Updated

 

지금 홈페이지에 설치하고 

 

ssl_stapling on; 
ssl_stapling_verify on; 
resolver 8.8.8.8 8.8.4.4 valid=86400; 
resolver_timeout 10;  

 

위와 같이 트러스트 인증서 없이 진행했는데 OK 떴습니다. ㅎㅎ

 

아무래도 제대로 된 서버면 다 OK 되는 듯 합니다.

 

따로 작업은 안해도 되네요 ^^;;

 

 

-------------------------------------------------------------

 

2016.09.19 03:36 Updated

 

더 찾아보니 

 

ssl_trusted_certificate /.../chain.pem;


이게 맞다고 하네요 ^^. 방금 적용해서 테스트해보니 바로 됩니다. ㅎㅎ


https://community.letsencrypt.org/t/howto-ocsp-stapling-for-nginx/13611/6

, , , , ,

5 Comments
우성군 2016.09.15 05:47  
https://esham.io/2016/01/ocsp-stapling

여기에 나와있는대로 인증서 받아서 해봐도 안되고.. 흠...
우성군 2016.09.15 06:02  
https://blog.outsider.ne.kr/1178

요기랑 똑같이 해도 안되고 ㅠㅠ
우성군 2016.09.15 06:07  
음.. 보니깐 trust 인증서는 chain.pem이 맞는데...
우성군 2016.09.15 06:28  
음.. 똑같이 설치한 다른 서버는 OCSP 인증되어 있네 -_-;;;;

이게 아무래도 시간이 필요한듯 ㅠㅠ

ssl_stapling on;
        ssl_stapling_verify on;
resolver 8.8.8.8 8.8.4.4 valid=86400;
resolver_timeout 10;

요렇게만 되어 있는데 OCSP 반응이 있다는건... 희망이 있다는 것 ㅎㅎ
우성군 2016.09.15 07:03  
http://unix.stackexchange.com/questions/259430/let-encrypt-nginx-ocsp-stapling

요것도 실패!!! 시간이 답인 듯 ㅠㅠ