阅读量:23
在Debian上配置Nginx以使用SSL并启用OCSP(在线证书状态协议)可以帮助确保您的网站安全。以下是详细的步骤指南:
1. 安装Nginx和SSL证书
首先,确保您已经安装了Nginx和SSL证书。
sudo apt update
sudo apt install nginx
获取SSL证书,可以使用Let’s Encrypt免费证书:
sudo apt install certbot python3-certbot-nginx
sudo certbot --nginx -d yourdomain.com -d www.yourdomain.com
按照提示完成证书的获取和配置。
2. 配置Nginx启用OCSP Stapling
OCSP Stapling可以减少客户端验证证书的时间。编辑Nginx配置文件(通常位于 /etc/nginx/sites-available/yourdomain.com
):
sudo nano /etc/nginx/sites-available/yourdomain.com
在 server
块中添加以下配置:
server {
listen 443 ssl;
server_name yourdomain.com www.yourdomain.com;
ssl_certificate /etc/letsencrypt/live/yourdomain.com/fullchain.pem;
ssl_certificate_key /etc/letsencrypt/live/yourdomain.com/privkey.pem;
ssl_trusted_certificate /etc/letsencrypt/live/yourdomain.com/chain.pem;
ssl_stapling on;
ssl_stapling_verify on;
resolver 8.8.8.8 8.8.4.4 valid=300s;
resolver_timeout 5s;
location / {
root /var/www/html;
index index.html index.htm;
}
# 其他配置...
}
保存并退出编辑器,然后测试Nginx配置:
sudo nginx -t
如果没有错误,重新加载Nginx以应用更改:
sudo systemctl reload nginx
3. 验证OCSP Stapling
您可以使用 openssl
命令来验证OCSP Stapling是否正常工作:
openssl s_client -connect yourdomain.com:443 -tls1_2 -tlsextdebug
在输出中查找 OCSP response
部分,如果看到OCSP响应,则说明OCSP Stapling已成功启用。
4. 配置OCSP响应服务器(可选)
如果您需要自定义OCSP响应服务器,可以使用 ocsp
模块。首先,确保您的Nginx编译时包含了 ocsp
模块。
编辑Nginx配置文件,添加以下内容:
server {
listen 443 ssl;
server_name yourdomain.com www.yourdomain.com;
ssl_certificate /etc/letsencrypt/live/yourdomain.com/fullchain.pem;
ssl_certificate_key /etc/letsencrypt/live/yourdomain.com/privkey.pem;
ssl_trusted_certificate /etc/letsencrypt/live/yourdomain.com/chain.pem;
ssl_stapling on;
ssl_stapling_verify on;
resolver 8.8.8.8 8.8.4.4 valid=300s;
resolver_timeout 5s;
location /ocsp {
ocsp;
ocsp_stapling on;
ocsp_responder_url http://your-ocsp-responder-url;
}
location / {
root /var/www/html;
index index.html index.htm;
}
# 其他配置...
}
保存并退出编辑器,然后重新加载Nginx:
sudo systemctl reload nginx
通过以上步骤,您应该能够在Debian上成功配置Nginx SSL并启用OCSP Stapling。