작업실

Letsencrypt 인증서 OCSP stapling 성공기

컨텐츠 정보

본문

https://letsencrypt.org/certificates/ 

 

여기서 root 인증서도 받고

 

 

openssl ocsp -CAfile root.pem -verify_other chain.pem -issuer chain1.pem -cert cert1.pem -no_nonce -text -url http://ocsp.int-x3.letsencrypt.org/ -header "HOST" "ocsp.int-x3.letsencrypt.org" 

 

위 명령어로 OCSP 반응도 성공으로 바꼈는데...

 

OCSP Request Data:

    Version: 1 (0x0)

    Requestor List:

        Certificate ID:

          Hash Algorithm: sha1

          Issuer Name Hash: ...

          Issuer Key Hash: ...

          Serial Number: ...

OCSP Response Data:

    OCSP Response Status: successful (0x0)

    Response Type: Basic OCSP Response

    Version: 1 (0x0)

    Responder Id: C = US, O = Let's Encrypt, CN = Let's Encrypt Authority X3

    Produced At: Sep 12 23:19:00 2016 GMT

    Responses:

    Certificate ID:

      Hash Algorithm: sha1

      Issuer Name Hash: ...

      Issuer Key Hash: ...

      Serial Number: ...

    Cert Status: good

    This Update: Sep 12 23:00:00 2016 GMT

    Next Update: Sep 19 23:00:00 2016 GMT

 

    Signature Algorithm: sha256WithRSAEncryption

         ...

Response verify OK

cert1.pem: good

        This Update: Sep 12 23:00:00 2016 GMT

        Next Update: Sep 19 23:00:00 2016 GMT

 

위와 같이 나오면 성공이죠.

 

 

그런데

 

openssl s_client -connect yoursite.com:443 -servername yoursite.com -status -tlsextdebug < /dev/null 2>&1 | grep -i "OCSP response" 

 

위와 같이 검증해보면

 

OCSP response: no response sent 

 

반응이 없네요 ㅠㅠ 으헉..

 

이젠 포기네요. ㅎㅎ

 

 

 

------------------------------------------------------------

 

2016.09.18 09:56 Updated

 

지금 홈페이지에 설치하고 

 

ssl_stapling on; 
ssl_stapling_verify on; 
resolver 8.8.8.8 8.8.4.4 valid=86400; 
resolver_timeout 10;  

 

위와 같이 트러스트 인증서 없이 진행했는데 OK 떴습니다. ㅎㅎ

 

아무래도 제대로 된 서버면 다 OK 되는 듯 합니다.

 

따로 작업은 안해도 되네요 ^^;;

 

 

-------------------------------------------------------------

 

2016.09.19 03:36 Updated

 

더 찾아보니 

 

ssl_trusted_certificate /.../chain.pem;


이게 맞다고 하네요 ^^. 방금 적용해서 테스트해보니 바로 됩니다. ㅎㅎ


https://community.letsencrypt.org/t/howto-ocsp-stapling-for-nginx/13611/6

관련자료

댓글 9 / 1 페이지

우성군님의 댓글

음.. 똑같이 설치한 다른 서버는 OCSP 인증되어 있네 -_-;;;;

이게 아무래도 시간이 필요한듯 ㅠㅠ

ssl_stapling on;
        ssl_stapling_verify on;
resolver 8.8.8.8 8.8.4.4 valid=86400;
resolver_timeout 10;

요렇게만 되어 있는데 OCSP 반응이 있다는건... 희망이 있다는 것 ㅎㅎ

우성짱님의 댓글의 댓글

ssl_trusted_certificate /.../chain.pem;

요것만 Nginx 설정에 넣으면 될거예요!

https://github.com/woosungchoi/docker-wordpress/blob/master/nginx/conf.d/ssl-conf

이런 느낌으로 넣으시면 될 것 같습니다.
전체 157 / 1 페이지
RSS

최근글


새댓글


알림 0