작업실

Letsencrypt 인증서 OCSP stapling 성공기

컨텐츠 정보

본문

https://letsencrypt.org/certificates/ 

 

여기서 root 인증서도 받고

 

 

openssl ocsp -CAfile root.pem -verify_other chain.pem -issuer chain1.pem -cert cert1.pem -no_nonce -text -url http://ocsp.int-x3.letsencrypt.org/ -header "HOST" "ocsp.int-x3.letsencrypt.org" 

 

위 명령어로 OCSP 반응도 성공으로 바꼈는데...

 

OCSP Request Data:

    Version: 1 (0x0)

    Requestor List:

        Certificate ID:

          Hash Algorithm: sha1

          Issuer Name Hash: ...

          Issuer Key Hash: ...

          Serial Number: ...

OCSP Response Data:

    OCSP Response Status: successful (0x0)

    Response Type: Basic OCSP Response

    Version: 1 (0x0)

    Responder Id: C = US, O = Let's Encrypt, CN = Let's Encrypt Authority X3

    Produced At: Sep 12 23:19:00 2016 GMT

    Responses:

    Certificate ID:

      Hash Algorithm: sha1

      Issuer Name Hash: ...

      Issuer Key Hash: ...

      Serial Number: ...

    Cert Status: good

    This Update: Sep 12 23:00:00 2016 GMT

    Next Update: Sep 19 23:00:00 2016 GMT

 

    Signature Algorithm: sha256WithRSAEncryption

         ...

Response verify OK

cert1.pem: good

        This Update: Sep 12 23:00:00 2016 GMT

        Next Update: Sep 19 23:00:00 2016 GMT

 

위와 같이 나오면 성공이죠.

 

 

그런데

 

openssl s_client -connect yoursite.com:443 -servername yoursite.com -status -tlsextdebug < /dev/null 2>&1 | grep -i "OCSP response" 

 

위와 같이 검증해보면

 

OCSP response: no response sent 

 

반응이 없네요 ㅠㅠ 으헉..

 

이젠 포기네요. ㅎㅎ

 

 

 

------------------------------------------------------------

 

2016.09.18 09:56 Updated

 

지금 홈페이지에 설치하고 

 

ssl_stapling on; 
ssl_stapling_verify on; 
resolver 8.8.8.8 8.8.4.4 valid=86400; 
resolver_timeout 10;  

 

위와 같이 트러스트 인증서 없이 진행했는데 OK 떴습니다. ㅎㅎ

 

아무래도 제대로 된 서버면 다 OK 되는 듯 합니다.

 

따로 작업은 안해도 되네요 ^^;;

 

 

-------------------------------------------------------------

 

2016.09.19 03:36 Updated

 

더 찾아보니 

 

ssl_trusted_certificate /.../chain.pem;


이게 맞다고 하네요 ^^. 방금 적용해서 테스트해보니 바로 됩니다. ㅎㅎ


https://community.letsencrypt.org/t/howto-ocsp-stapling-for-nginx/13611/6

관련자료

댓글 9개 / 1페이지

우성군님의 댓글

음.. 똑같이 설치한 다른 서버는 OCSP 인증되어 있네 -_-;;;;

이게 아무래도 시간이 필요한듯 ㅠㅠ

ssl_stapling on;
        ssl_stapling_verify on;
resolver 8.8.8.8 8.8.4.4 valid=86400;
resolver_timeout 10;

요렇게만 되어 있는데 OCSP 반응이 있다는건... 희망이 있다는 것 ㅎㅎ

우성짱님의 댓글의 댓글

ssl_trusted_certificate /.../chain.pem;

요것만 Nginx 설정에 넣으면 될거예요!

https://github.com/woosungchoi/docker-wordpress/blob/master/nginx/conf.d/ssl-conf

이런 느낌으로 넣으시면 될 것 같습니다.
Total 157 / 9 Page
RSS
HTTPS 적용 후 SSL Labs A+ 평가 받았습니다. 댓글 1

▲ A+ 받았어요!!! ( 링크 )HTTPS로 적용 후 HPKP 적용, HTST preload 신청, 홈페이지 Http 관련 에러 잡기 등등 겨…

Startssl 인증서 OCSP stapling 적용 방법

링크에 있는대로 적용하면 됩니다.서버의 SSL 인증서가 있는 폴더에 가서wget -O - https://www.startssl.com/certs…

Letsencrypt 인증서 OCSP stapling 성공기 댓글 9

https://letsencrypt.org/certificates/여기서 root 인증서도 받고openssl ocsp -CAfile root.p…

COMODO SSL 인증서로 OCSP stapling 인증받기 댓글 1

SSLlabs에서 SSL 보안 점수 높이려고 노력하다가 겨우 OSCP stapling을 받았네요.완전히 처음보는 개념들이 많아서 거의 하루 밤샜…

Nginx에서 모든 요청을 https non-www로 돌리는 방법

예를 들어http://www.example.comhttp://example.comhttps://www.example.com위 세가지 경우http…

클라우드플레어 무료 DDNS서비스로 멀티 서브도메인까지 한번에 업데이트 하기

DNS 서비스는 이때까지 DNSever를 이용하고 있었습니다만 이번에 테스트 도메인을 구매하면서 새로운 곳을 찾아봤습니다.아무래도 무료이면서 신…

최근글


새댓글


알림 0