java ocsp校验_Nginx使用OCSP验证客户端证书

最新推荐文章于 2025-04-29 11:37:37 发布
最新推荐文章于 2025-04-29 11:37:37 发布
阅读量975 收藏 1
点赞数
文章标签: java ocsp校验
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/weixin_39747755/article/details/114655426
版权
本文介绍了如何在Nginx 1.19.0+版本中启用OCSP验证客户端证书,详细配置步骤包括设置ssl_verify_client、ssl_ocsp、resolver和ssl_client_certificate等参数。在配置过程中,需要注意resolver的设置以避免解析错误,同时提供根证书以防止报错。当客户端证书被撤销或OCSP访问失败时,Nginx将报错。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

此前,Nginx只支持OSCP验证服务器证书。

目前,Nginx 1.19.0+已经支持使用OSCP验证客户端证书:https://trac.nginx.org/nginx/ticket/1534

有关Nginx双向证书验证的详细配置可以参考笔者的《Nginx双向证书校验(服务器验证客户端证书)》一文。

如下配置:

server {

listen 50443;

ssl on;

server_name example.com;

ssl_certificate D:\\nginx-1.19.1\\ssl_cert\\example-all.crt;

ssl_certificate_key D:\\nginx-1.19.1\\ssl_cert\\example-key.txt;

ssl_session_cache shared:SSL:1m;

ssl_session_timeout 5m;

ssl_verify_client on;

ssl_ocsp on;

resolver 172.16.1.251;

ssl_client_certificate D:\\nginx-1.19.1\\ssl_cert\\example-ca.crt;

#charset koi8-r;

#access_log logs/host.access.log main;

location / {

root html;

index index.html index.htm;

}

}

1

2

3

4

5

6

7

8

9

10

11

12

13

14

15

16

17

18

19

20

21

22

23

server{

listen50443;

sslon;

server_nameexample.com;

ssl_certificateD:\\nginx-1.19.1\\ssl_cert\\example-all.crt;

ssl_certificate_keyD:\\nginx-1.19.1\\ssl_cert\\example-key.txt;

ssl_session_cacheshared:SSL:1m;

ssl_session_timeout5m;

ssl_verify_clienton;

ssl_ocspon;

resolver172.16.1.251;

ssl_client_certificateD:\\nginx-1.19.1\\ssl_cert\\example-ca.crt;

#charset koi8-r;

#access_log  logs/host.access.log  main;

location/{

roothtml;

indexindex.htmlindex.htm;

}

}

3509f4adec2a026f910bfbb0d308ecaf.png

Nginx校验客户端证书配置(使用OCSP)

需要注意,其中的resolver用于:

Configures name servers used to resolve names of upstream servers into addresses

必须设置resolver,否则会报错,在error.log中可以看到,形如:

no resolver defined to resolve pki.example.com while requesting certificate status, responder: pki.example.com

1

noresolverdefinedtoresolvepki.example.comwhilerequestingcertificatestatus,responder:pki.example.com

另外,即便是启用了ssl_ocsp on,也必须通过ssl_client_certificate指定根证书,否则会报错:

no ssl_client_certificate for ssl_verify_client

1

nossl_client_certificateforssl_verify_client

这样,我们就可以观察到Nginx请求OCSP地址了(下面是OCSP地址请求失败时的报错):

WSASend() failed (10057: A request to send or receive data was disallowed because the socket is not connected and (when sending on a datagram socket using a sendto call) no address was supplied) while requesting certificate status, responder: pki.example.com, peer: 1**.***.***.***:80

1

WSASend()failed(10057:Arequesttosendorreceivedatawasdisallowedbecausethesocketisnotconnectedand(whensendingonadatagramsocketusingasendtocall)noaddresswassupplied)whilerequestingcertificatestatus,responder:pki.example.com,peer:1**.***.***.***:80

当对应的客户端证书被Revoke或OCSP访问失败时,会报错:

e87cf291fd7fea794cfdc1d8cf3d6a66.png

Nginx客户端证书校验失败

参考资料:

1、https://stackoverflow.com/questions/34102812/nginx-how-to-use-ocsp-to-verify-the-ssl-client-certificate

2、http://nginx.org/en/docs/http/ngx_http_ssl_module.html#ssl_ocs=-

OCSP检查数字证书状态详解
N阶二进制的博客
12-09 3238
OCSP(Online Certificate Status Protocol)是一种用于检查数字证书状态的协议。它提供了一种实时查询证书状态的方式,以确定证书是否被吊销。
Nginx与HTTPS:TLS协议与证书管理的魔法盾牌
java专栏
07-31 747
HTTPS(超文本传输安全协议)是一种用于安全通信的网络协议,它在HTTP的基础上通过SSL/TLS协议提供了数据加密、完整性校验和身份验证。简单来说,HTTPS就是给你的网站通信加上了一把锁,保护数据不被窃听和篡改。TLS(传输层安全协议)是一种用于在网络通信中提供隐私和数据完整性的安全协议。它是SSL(安全套接层)的继承者,广泛应用于Web、电子邮件和其他互联网通信中。SSL/TLS证书是一种数字证书,用于证明网站所有者的身份,并加密浏览器和服务器之间的通信。证书由受信任的证书颁发机构(CA)颁发。
如何验证java_如何验证Java卡上的证书有效性?
weixin_39855869的博客
02-23 530
通常,验证证书对于智能卡来说是一项艰苦的工作.这些证书的大小通常大于2KiB.虽然这是用于通用PC的花生,但它不适用于智能卡,其中高端卡通常仅包含8 KiB的RAM.这是在操作系统,加密协处理器APDU缓冲区和 – 当然 – 您的小程序之间共享的.还有一个问题:通常智能卡不包含时钟.这使得证明证书在有效期内是一件棘手的事情;基本上你需要一些可靠的时间来保持时间.然后,证书验证通常使用CRL或OCS...
HTTPS优化与会话复用技术探究
最新发布
weixin_35592186的博客
04-29 326
本文探讨了在OpenResty中配置HTTPS服务的高级技术,包括动态加载证书OCSP Stapling、会话ID和Session Tickets会话复用等。文章详细解析了如何通过Lua脚本在SSL/TLS握手阶段进行优化,以及会话复用技术的原理和实现。此外,还指出了在使用这些技术时应避免的问题,并强调了HTTPS系统的搭建需要综合考虑多方面因素。
OCSP证书的有效性管理和验证
2301_76563067的博客
09-14 1241
CRL的数据形成后,要把它公布在网上,然而,CRL的数据集中存放在CA的服务器中可能带来另一个问题,就是当用户数量庞大,而且到了交易集中发生的高峰时期时,对服务器的并发访问可能造成网络和服务器的拥塞,致使交易效率急剧下降甚至超时。OCSP在线查询机制只能检测证书的注销状态,没有其他功能,例如不能检查证书的有效期,也不返回用户一个完全的证书证书有效期的设定是出于安全的考虑,当一张证书有效期将结束时,如果想继续使用就需要更新,证书更新时将产生新的公私密钥对,密钥定期更新对于证书的安全性是有好处的。
OpenSSL 通过OCSP手动验证证书
weixin_30552635的博客
05-23 1252
翻译:https://raymii.org/s/articles/OpenSSL_Manually_Verify_a_certificate_against_an_OCSP.html?utm_source=tuicool&utm_medium=referral 目录: 1、ocsp客户端获取证书 2、获取证书信任链 3、发送ocsp请求 4、吊销证书 5、其他错误 这篇...
数字证书的相关专业名词(下)---OCSP及其java中的应用
学习不止境的博客
04-13 3938
该篇文章讲述如何获取OCSP地址以及通过OCSP地址获取OCSP响应结果
Https优化方案(优化证书验证篇--OCSP
热门推荐
supertor的博客
12-06 1万+
一句话概括就是:OCSP 是server 把自己的站点证书和中间证书以及根证书打包一起下发到客户端,省去客户端查询的过程。 OCSP实时查询会增加客户端的性能开销。因此,可以考虑通过OCSP stapling的方案来解决:OCSP stapling是一种允许在TLS握手中包含吊销信息的协议功能,启用OCSP stapling后,服务端可以代替客户端完成证书吊销状态的检测,并将全部信息在握手过程...
【异常】IOS系统 H5 Https请求后端,速度不稳定,很慢。OCSP域名无法访问的问题
seowen的开发 小本子
06-16 3750
事件由来 如果最近发现iOS APP打开h5非常慢,达到5秒以上,而安卓又正常,如果刚好你又是使用了Let's Encrypt 的免费SSL服务,恭喜你,你可能是一位运营商干扰的受害者。 原因: 近期由于众所周知的原因,国内无法直接访问 Let's Encrypt 的 OSCP 域名,导致出现了不能签发证书OCSP Stapling 失败、网页打开慢等问题。 经检查目前是 ocsp.int-x3.letsencrypt.org 的 cname 域名 a771.dscq.akamai.net 受到了干
[密码学实战]Java实现TLS 1.2单向认证(十三)
曼岛_的博客
03-04 1117
[密码学实战]Java实现TLS 1.2单向认证
Nginx证书管理宝典】:从OpenSSL到JKS的详细操作步骤
![【Nginx证书管理宝典】:从OpenSSL到JKS的详细操作...首先介绍了SSL/TLS和证书的基础知识,随后详细阐述了如何使用OpenSSL工具生成和管理自签名及CA签署的证书。接着,文章转向Nginx服务器,详细说明了如何配置SSL
生成OCSP请求和响应的jar包
11-29
开源的生成OCSP请求和响应的jar包,很好用,可以试一下
在线证书状态协议 (OCSP) 详解及其应用
weixin_37085861的博客
08-15 2084
一、什么是OCSP?在线证书状态协议(Online Certificate Status Protocol,OCSP)是一种验证X.509数字证书状态的方法。它通过向OCSP服务器(通常是证书颁发机构(CA)提供的)发送请求来检查证书是否被吊销,相较于传统的证书吊销列表(CRL)方式,OCSP更为高效。二、OCSP的工作原...
java ocsp开源_开源项目的代码签名证书
weixin_32861907的博客
03-02 302
通过网络界面提交,您将很快获得一份有效期为两年的新证书(我在一小时内收到了我的证书)。问题:终身签名OIDStartCom的2级证书具有Lifetime Signing OID集。 由于这一点,签名代码的签名在证书过期后将变为无效,即使它已加上时间戳。当我问Eddy Nigg(StartCom的首席运营官/首席技术官)因为这个OID的原因,他回答说:在证书已过期后,我们要求CRL保持运行长达20年...
ocsp查询证书状态
M先生的博客
06-25 365
OCSP服务其实也是用于验证证书是否有效,与之前博客里讲的不同之处在与,通过OCSP服务查询证书状态是实时的,一般证书发布机构将证书吊销后,会发布到Ldap里,这个几乎是实时发布的。所以OSCP服务的证书查询结果是实时的,准确性要比本地验证准确的多。
密码学系列之:在线证书状态协议OCSP详解
程序那些事
07-06 3119
我们在进行网页访问的时候会跟各种各样的证书打交道,比如在访问https网页的时候,需要检测https网站的证书有效性。OCSP就是一种校验协议,用于获取X.509数字证书的撤销状态。它是为了替换CRL而出现的。本文将会详细介绍OCSP的实现和优点。我们知道在PKI架构中,CA证书是非常重要的组件,客户端通过CA证书验证服务的可靠性。对于CA证书本身来说在创建的时候是可以指定过期时间的。这样证书在过期之后就不可以使用,需要申请新的证书。但是只给证书指定过期时间是不够的,比如我们因为业务的需求,需要撤销证书
JAVA获取服务器证书以及请求OCSP查询证书状态
davenTsang的专栏
01-03 6327
应用场景:leader需要做个监控程序扫描自己网站的服务器证书状态是否符合设置,出现异常则发短信/Email给管理人员。 假设我们要监控的URL是https://baidu.com,首先使用URL建立https通道,连接正常则服务器会发送证书客户端JAVA需要用到的jar包,bouncy castle相关的包,大家自行下载。maven配置: <dependency> ...
nginx
自古红蓝出CP的博客
12-20 470
nginx基本配置与参数说明:http://www.nginx.cn/76.html nginx常用代理配置:https://www.cnblogs.com/fanzhidongyzby/p/5194895.html nginx反向代理多个tomcat服务:http://blog.youkuaiyun.com/vio4677/article/details/43231693server {
springboot+nginx+ssl
PAN17610011759的博客
08-01 558
server { listen 443; server_name 你的域名; ssl on; #这里的.pem/.key文件替换成自己对应的文件名 ssl_certificate /ceshi/ssl/nginx/wx.sciences.ac.cn-ca-bundle.crt; ssl_certificate_key ...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值