有没有办法让 Nginx每次重新加载配置或重新启动时主动OCSP 主打证书?或者,是否可以将 Nginx 设置为在重新加载或重新启动时保存装订的证书而不是丢弃它们?重新加载或重新启动 Nginx 似乎会清除所有缓存的 OCSP 装订证书。
我在运行 Nginx 1.11.4 并使用Certbot 的 OCSP Must-Staple TLS 功能扩展的 Ubuntu 16.04.1 服务器上进行了 OSCP 装订测试和工作。我的问题是,在重新加载或重新启动 Nginx 时,没有保存装订的响应,而是第一个访问者看到一个错误页面(这是服务器尚未装订的“必须装订”证书的预期结果)。
我必须访问服务器托管的每个网站并重新加载它们几次,而 Nginx 会自动 OCSP 装订证书,然后一切都会重新开始工作,直到下一次重新启动。我想自动化这一步或完全避免它。
那篇文章解释了一种方法: https ://matthiasadler.info/blog/ocsp-stapling-on-nginx-with-comodo-ssl/
这个想法是手动获取 de OCSP 响应并使用 ssl_stapling_file 指令。
https://unmitigatedrisk.com/?p=241详细解释: