内网OCSP创建和部署指南

最新推荐文章于 2025-05-23 13:27:21 发布
转载 最新推荐文章于 2025-05-23 13:27:21 发布 · 1.6k 阅读 · 4 ·
CC 4.0 BY-SA版权
原文链接:https://my.oschina.net/whywhy/blog/744261
文章标签:

#java #运维 #golang

本文详细介绍了如何在内网环境中创建并部署OCSP。首先,确保服务器环境和网络条件,接着获取SSL证书并解压。然后,利用OpenSSL创建OCSP文件,并解决可能出现的HTTP 1.1不支持的问题。最后,以Nginx为例配置OCSP文件,并通过OpenSSL命令测试生效结果。成功后,OCSP ResponseStatus应显示为successful。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

准备创建需要的环境1.1 创建环境简介

Linux或windows服务器一台,

安装有Apache2.2.*(自带有Openssl)或有单独安装Openssl工具以上版本

SSL证书一张(备注:根据自己申请到的证书使用,通用其它版本证书)

1.2网络环境要求

请确保站点是一个合法的外网可以访问的域名地址,可以正常通过或http://XXX进行正常访问。




二、 请求OCSP创建证书
2.1获取SSl证书

成功在沃通申请证书后,会得到一个有密码的压缩包文件,输入证书密码后解压得到五个文件:for Apache、for IIS、for Ngnix、for Tomcat、for Other Server,这个是证书的几种格式,例如:我们拿for other

Server 的格式来创建。

150352mkk59er5sx19j1j8.png

2. 2证书文件

解压for other server文件可以看到5个文件。包括公钥、私钥和各级证书链,如图1

最低0.47元/天 解锁文章

200万优质内容无限畅学
如何让HTTPS站点更加安全? 这篇HTTPS安全加固配置最佳实践指南就够了
WeiyiGeek 唯一极客IT知识分享
04-10 4258
[TOC] 前置知识推荐了解 HTTPS原理介绍以及证书签名的申请配置 ( https://blog.weiyigeek.top/2019/10-21-10.html ) SSL与TLS协议原理证书签名生成实践指南 ( https://blog.weiyigeek.top/2019/10-21-12.html ) 原文链接 HTTPS安全优化配置最佳实践指南简述 ( https://blog.weiyigeek.top/2022/4-6-11.html ) 0x02 HTTPS安全加固指南 描述: 当你
解决谷歌浏览器提示不安全问题的深度指南
mmoo_python的博客
04-21 1214
在使用谷歌浏览器访问网站时,若页面突然弹出"不安全"警告导致无法正常浏览,这往往意味着浏览器检测到了潜在风险。本文将从技术原理、操作路径、安全平衡三个维度,系统讲解如何科学应对此类问题,并附带扩展解决方案。
OCSP环境搭建--Windows Server 2016
CsdnCHong_566的博客
03-18 2805
OCSP环境搭建--Windows Server 2016 一. OCSP环境中相关信息 1. 服务器1 操作系统:Win Server 2016 Standard版 IP地址:172.16.0.19/23,网关:172.16.0.1,首选DNS:127.0.0.1 服务器角色:域控制器、证书颁发机构、radius服务器、DNS服务器 ...
Nginx 关于 OCSP 的调试部署
myarche的博客
12-04 2759
因为某些浏览器的原因,可能我们需要为证书配置 OCSP 。 花了一下午进行调试整理,现在已经成功,现在写下心得。 证书是在 PositiveSSL 购买的,也就是现在的 Comodo 证书。 如何生成 csr 并生成密钥,并购买证书,因为教程比较多,这里就不在阐述了。 一般我们购买证书之后,在邮件或者等地方都可以下载到我们需要的证书文件,常见的压缩包里会包含两个: doamin.crt 也就是我们的域名网站证书 domain.ca-bundle 捆绑证书,包含根证书中间证书。 当然如果没.
【SSL部署与优化​】​​OCSP Stapling配置指南:减少证书验证延迟​​
最新发布
DZ Space
05-23 1012
本文详细介绍了如何在 Nginx Apache 服务器上启用 OCSP Stapling,以减少证书验证延迟并提升 HTTPS 性能。OCSP Stapling 的核心原理是服务器定期从 CA 获取 OCSP 响应并缓存,在 TLS 握手时直接发送给客户端,从而避免客户端单独查询 CA。文章分别提供了 Nginx Apache 的配置步骤,包括修改配置文件、创建缓存目录、手动触发 OCSP 响应获取、设置自动更新任务以及重启服务器。此外,还介绍了如何验证 OCSP Stapling 是否生效,并列举
Nginx 启用 OCSP Stapling的配置
01-10
这里,我将介绍什么是 OCSP Stapling 以及为什么要开启它。 在线证书状态协议(Online Certificate Status Protocol),简称 OCSP,是一个用于获取 X.509 数字证书撤销状态的网际协议,在 RFC 6960 中定义。OCSP 用于检验证书合法性,查询服务一般由证书所属 CA 提供。OCSP 查询的本质,是一次完整的 HTTP 请求加响应的过程,这中间涵括的 DNS 查询、建立 TCP 连接、Web 端工作等步骤,都将耗费更多时间,使得建立 TLS 花费更多时长。 而这时,OCSP Stapling 出现了。经由 OCSP Stapling(OC
OCSP server搭建
zhangxiaoming168的博客
08-16 1512
openssl req -new -nodes -out ca.csr -keyout ca.key -extensions v3_ocsp -config opensslca.cnf openssl ca -in ca.csr -out ca.crt -extensions v3_OCSP -config opensslca.cnf openssl genrsa -des3 -out ...
Lab 2 循序渐进配置Windows Server 2012 AD CS(颁发机构&联机响应篇)
weixin_33720452的博客
03-19 607
安全往往是企业管理的重中之重,我们的Boss希望我们的网站是加密的,邮件是加密的,文档是加密的,而且绝大多数的微软服务器产品都是需要公有的或者自建的证书,而AD CS可以为我们提供颁发管理在采用软件安全系统中使用的公钥证书。证书服务这玩意我们也不可能天天他打交道,配置好了之后,很长一段时间我们都不用管它。但是万事开头难,如何迈出这第一步,我相信最有效的方法就是做一次实验,...
《Web性能权威指南》-网络技术概览-读书笔记
lonelymanontheway的博客
09-07 1079
延迟与带宽:Hibernia Express、Bufferbloat、traceroute; TCP构成:三次握手、拥塞预防及控制(流量控制、慢启动、拥塞预防)、带宽延迟积、队首阻塞、TCP优化建议; UDP构成:无协议服务、UDP与网络地址转换器(连接状态超时、NAT穿透、STUN与TURN与ICE)、UDP优化建议; 传输层安全:加密&身份验证与完整性、TLS握手、TLS会话恢复、信任链与证书颁发机构、证书撤销、TLS记录协议、TLS优化建议;
谷歌浏览器安全警告深度解析与优化指南
mmoo_python的博客
04-24 992
作为开发者或重度浏览器用户,遇到Chrome"不安全"警告时,简单的关闭设置可能带来安全隐患。本文将系统性解析该警告的触发机制,提供分层解决方案,并探讨安全设置与优化策略之间的平衡艺术。
CentOS8使用gmssl搭建demoCA及配置OCSP服务
MARS_098的博客
09-26 2947
本文档以CentOS8 + GmSSL2.5.4版本为例 1、GmSSL搭建CA 1.1 安装GmSSL 我们知道,Linux下默认只有openssl的发行版,并没有默认安装GmSSL,所以需要手动下载并编译安装。而GmSSL的大部分功能时基于openssl的,所以不能再使用动态编译安装,否则会导致链接冲突。 GmSSL的官方配置文档链接:关于GmSSL 可以参考官方的步骤,但需要注意的是,需要加上一个no-shared的选项,以使用静态编译安装。安装的时候选择合适的目录安装,示例文件夹为/usr/loc
轻量级OCSP配置文件
06-30
用于大容量环境的轻量级在线证书状态协议(OCSP)配置文件
在线证书状态协议-OCSP
11-26
在线证书状态协议-OCSP 在线证书状态协议-OCSP介绍及用法
OpeSSL命令---oscp
VitalityShow(网络通讯)
11-09 5215
在线证书状态工具。它使应用程序能够决定一个被识别的证书的状态值(根据RFC2560)。Ocsp命令执行很多OCSP的任务。它可以被用于打印请求文件响应文件,常见请求文件发送一个OCSP响应文件,它就像一个消息OCSP服务器
OCSP介绍以及使用OpenSSL编程实现
lt4959的专栏
10-15 5863
首先我们知道在PKI体系中,证书的生命周期如下所示, 对于一个可信任的 CA 机构颁发的有效证书,在证书到期之前,只要 CA 没有把其吊销,那么这个证书就是有效可信任的。有时,由于某些特殊原因(比如私钥泄漏,证书信息有误,CA 有漏洞被黑客利用,颁发了其他域名的证书等等),需要吊销某些证书。那浏览器或者客户端如何知道当前使用的证书已经被吊销了呢?为解决对CA证书有效性方面的查询,PKI引入了CRL(Certificate Revocation List)OCSP(Online Certificate
配置证书 OCSP 成功
记录点滴
10-11 556
参考资料: OpenSSL 通过OCSP手动验证证书 https://www.cnblogs.com/penghuster/p/6895714.html 免费SSL证书的OCSP问题 http://www.manongjc.com/detail/19-mhvsinmgxxhfnqa.html 从无法开启 OCSP Stapling 说起,OCSP是什么 https://blog.51cto.com/professor/1841618 ...
安装标准版OCS服务器
weixin_33859504的博客
10-10 261
配置标准版的OCS服务器 环境: OCS服务器:主机名 ocs1; IP 192.168.2.1/24 域 world.com (本实验OCS服务器同时承载AD、证书、DNS服务) 首先,配置DNS记录; 一条SRV记录、用于客户端地自动登录; 一条是OCS服务器的A记录; 再来提升域功能级别林功能级别; 在AD用户计算机中配置域功能级别: ...
Https SSL证书 本地化OCSP地址是什么
hwssz的专栏
03-04 630
通过远程复现问题并抓包,我们发现在客户电脑上每次打开专用浏览器都会先访问一个国外证书网站在继续请求,而访问国外证书的网站的不稳定性导致了无法正常打开网站。我们实际使用中发现2000左右的DV证书 证书授权信息地址是国外的,而5000左右的OV证书证书授权信息地址是国内的地址。大家可以看看访问网站的证书的详细信息中授权信息访问那一行,可以知道浏览器在校验这个证书时会去访问的授权信息地址了。在给网站换上了阿里云的OV证书后,地区反馈访问网站已经正常了,这个访问白屏的问题解决了。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值