准备创建需要的环境1.1 创建环境简介
Linux或windows服务器一台,
安装有Apache2.2.*(自带有Openssl)或有单独安装Openssl工具以上版本
SSL证书一张(备注:根据自己申请到的证书使用,通用其它版本证书)
1.2网络环境要求
请确保站点是一个合法的外网可以访问的域名地址,可以正常通过或http://XXX进行正常访问。
二、 请求OCSP创建证书2.1获取SSl证书成功在沃通申请证书后,会得到一个有密码的压缩包文件,输入证书密码后解压得到五个文件:for Apache、for IIS、for Ngnix、for Tomcat、for Other Server,这个是证书的几种格式,例如:我们拿for other
Server 的格式来创建。
2. 2证书文件
解压for other server文件可以看到5个文件。包括公钥、私钥和各级证书链,如图1
图1
2.3创建OCSP文件1、打开Openssl安装目录下bin目录然后把3_user_domain.crt
和 2_issuer_Intermediate.crt文件拷贝到目录(这里可以根据文件路径自定义)中。
2、双击打开3_user_domain.crt公钥文件,点击详细信息,找到字段:“颁发机构信息访问”查看下面的数值如:URL=http://ocsp1.wosign.com/ca6/server1 (注意:此url路径会根据不同产品类型证书而定义的路径不同)
3、通过DOS下命令切换到Openssl的bin目录下,如:(此处为测试路径,可根据自己路径调整)
命令如下:
Openssl ocsp -issuer 2_issuer_Intermediate.crt-cert 3_user_domain.crt -url
http://ocsp1.wosign.com/ca6/server1-text -respout stapling_ocsp
注:-issuer:中级根证书。
-cert:用户证书。
-url:ocsp访问地址。
-text -respout:做为输入ocsp文件。(路径自定义)
附加:经过进一步测试,客户如果出现此问题(“The OpenSSL command doesn'tsupport HTTP 1.1”)的
原因跟客户使用的openssl命令有关系,那么可以在命令中增加一个 header(-header "HOST"
"ocsp.startssl.com")即可。
可将命令改成如下:
Openssl ocsp -issuer 2_issuer_Intermediate.crt-cert 3_user_domain.crt -url
-header “HOST” “ocsp1.wosign.com” -text –respout
stapling_ocsp
输入相应命令后正常情况会输出下列数据 如下:
最终可以到存放Ocsp的路径下看到此文件:如下
以上就创建完成了Ocsp文件
2.4配置Ocsp文件我们用Nginx来做实例操作
将保存下来的 stapling_ocsp 证书添加到 Nginx 的配置中,如下,Nginx 中配置变成了
如下:(加入参数)
ssl_stapling on;
Ssl_stapling_verify on;
ssl_stapling_file /stapling_ocsp;(路径可自定义)
ssl_trusted_certificate /2_issuer_Intermediate.crt;(路径可自定义)
这样子重启 Nginx 后就会生效,可以使用下面的命令测试生效结果:
2.5测试生效结果Openssl s_client -connect s.wosign.com:443-status –Cafile 2_issuer_Intermediate.crt
看到OCSP ResponseStatus: successful
这样的字样就是成功了。