03月12, 2020

添加证书OCSP Must-Staple支持

说明

在上一个NGINX应该看到配置有OCSP,那个是告诉浏览器,我们证书是使用OCSP,而这篇说的是配置OCSP Must-Staple支持

配置

编辑`/etc/ssl/openssl.cnf 不是conf

[ v3_req ]

# Extensions to add to a certificate request

basicConstraints = CA:FALSE
keyUsage = nonRepudiation, digitalSignature, keyEncipherment
# 添加OCSP Must-Staple支持
tlsfeature=status_request

然后生成csr文件,提交给证书机构

openssl req -new -nodes -newkey rsa:4096 -keyout domain.key -out domain.csr
目前并不知道怎么不写配置直接生成带有OCSP支持的证书

下面是生成CSR证书时的选项

字段 说明 备注
Country Name (2 letter code) [AU]: 国家代码 CN
State or Province Name (full name) [Some-State]:
Locality Name (eg, city) []:
Organization Name (eg, company) [Internet Widgits Pty Ltd]: 公司
Organizational Unit Name (eg, section) []: 部门
Common Name (e.g. server FQDN or YOUR name) []: 域名
Email Address []: 邮箱 不用填
A challenge password []: 密码 不用填
An optional company name []: 公司别称 不用填

另一种在获取时声明要求支持

捕获2.PNG

本文链接:https://www.moebsd.cn/post/OCSP.html

-- EOF --

Comments