博客
关于我
强烈建议你试试无所不能的chatGPT,快点击我
内网OCSP创建和部署指南
阅读量:5861 次
发布时间:2019-06-19

本文共 1725 字,大约阅读时间需要 5 分钟。

准备创建需要的环境1.1 创建环境简介

Linux或windows服务器一台,

安装有Apache2.2.*(自带有Openssl)或有单独安装Openssl工具以上版本

SSL证书一张(备注:根据自己申请到的证书使用,通用其它版本证书)

1.2网络环境要求

请确保站点是一个合法的外网可以访问的域名地址,可以正常通过或http://XXX进行正常访问。

二、 请求OCSP创建证书
2.1获取SSl证书

成功在沃通申请证书后,会得到一个有密码的压缩包文件,输入证书密码后解压得到五个文件:for Apache、for IIS、for Ngnix、for Tomcat、for Other Server,这个是证书的几种格式,例如:我们拿for other

Server 的格式来创建。

150352mkk59er5sx19j1j8.png

2. 2证书文件

解压for other server文件可以看到5个文件。包括公钥、私钥和各级证书链,如图1

150359i28288gi2f008fwd.png

图1

2.3创建OCSP文件

1、打开Openssl安装目录下bin目录然后把3_user_domain.crt

和 2_issuer_Intermediate.crt文件拷贝到目录(这里可以根据文件路径自定义)中。

 

2、双击打开3_user_domain.crt公钥文件,点击详细信息,找到字段:“颁发机构信息访问”查看下面的数值如:URL=http://ocsp1.wosign.com/ca6/server1 (注意:此url路径会根据不同产品类型证书而定义的路径不同

 

3、通过DOS下命令切换到Openssl的bin目录下,如:(此处为测试路径,可根据自己路径调整)

命令如下:

Openssl ocsp -issuer 2_issuer_Intermediate.crt-cert 3_user_domain.crt -url

http://ocsp1.wosign.com/ca6/server1-text -respout stapling_ocsp

注:-issuer:中级根证书。

    -cert:用户证书。

    -url:ocsp访问地址。

    -text -respout:做为输入ocsp文件。(路径自定义)

 

附加:经过进一步测试,客户如果出现此问题(“The OpenSSL command doesn'tsupport HTTP 1.1”)的

原因跟客户使用的openssl命令有关系,那么可以在命令中增加一个 header(-header "HOST"

"ocsp.startssl.com")即可。

可将命令改成如下:

Openssl ocsp -issuer 2_issuer_Intermediate.crt-cert 3_user_domain.crt -url

-header “HOST” “ocsp1.wosign.com” -text –respout

stapling_ocsp

 

150359k1siwdq1o59z84i8.png

输入相应命令后正常情况会输出下列数据 如下:

150400b91m039kuppadnff.png

 

最终可以到存放Ocsp的路径下看到此文件:如下

150457r5z33v0e3um3wv0m.png

以上就创建完成了Ocsp文件

2.4配置Ocsp文件

      我们用Nginx来做实例操作

将保存下来的 stapling_ocsp 证书添加到 Nginx 的配置中,如下,Nginx 中配置变成了

如下:(加入参数)

ssl_stapling on;

Ssl_stapling_verify on;

ssl_stapling_file /stapling_ocsp;(路径可自定义)

ssl_trusted_certificate /2_issuer_Intermediate.crt;(路径可自定义)

这样子重启 Nginx 后就会生效,可以使用下面的命令测试生效结果:

2.5测试生效结果

         Openssl s_client -connect s.wosign.com:443-status –Cafile 2_issuer_Intermediate.crt

      150400rqjpuuqusipurq88.png

看到OCSP ResponseStatus: successful

这样的字样就是成功了。

转载于:https://my.oschina.net/whywhy/blog/744261

你可能感兴趣的文章
《Java8实战》-读书笔记第一章(02)
查看>>
英特尔AI技术落地场景,保护动物+修缮文物全部统统搞定
查看>>
金雅拓凭借最佳多重身份验证解决方案荣膺2016年网络安全卓越奖
查看>>
Mycat读写分离笔记
查看>>
Java管理Cookie增删改查操作。
查看>>
How to incrementally migrate DynamoDB data to Table Store
查看>>
Hbase伪分布式
查看>>
面试 8:快慢指针法玩转链表算法面试(二)
查看>>
传智播客C++学院教学总监朱景尧老师
查看>>
day01_html学习笔记
查看>>
异步方法不能使用ref和out的解决方法
查看>>
走在JS上的全栈之路(一)
查看>>
浅析GPU通信技术(上)--GPUDirect P2P
查看>>
IBM借QISKit打造基于云平台的量子计算
查看>>
第二届中国SaaS产业峰会-深圳站——挖掘SaaS的深度价值
查看>>
专访驭势科技吴甘沙:无人驾驶硝烟弥漫,“创造”才有未来|封面人物
查看>>
一次Hbase删库的故障恢复--Linux EXT4 文件恢复原理分析
查看>>
机器学习研究人员需要了解的8个神经网络架构(上)
查看>>
解决TeamViewer无法按给定网络地址联系伙伴
查看>>
真空不空
查看>>