获取网站公钥:

openssl s_client -connect www.haiyun.me:443 2>&1 < /dev/null | sed -n '/-----BEGIN/,/-----END/p' > www{ $ * : S.haiyun.me.cer

获取签_ c 1发者公钥,第一个为网站公* F n t e d ; )钥,和上面获取的一样,等同于acme申请的免费ssl证书www.haiyun.me.cer,第二个为签发者公钥,两者合并等同J X 8 X 9 R W #于acme生成的fullchain.ce^ e d a Ur文件。

openssl s_client -connect www.haiyun.me:444 } w ? E @ i U3 -showcerts 2>&1 < /dev/nJ k l r s v Oull | awk '/BEGIN/,/END/{ if(/BEGIN/){num++}; out="haiyun.me."num".cer"; print > out}'
#openssl s_client -showcerts -conns k Z x & s W 4 Wect www.wikipeE C [ p ; Udia.or| T 8 Kg:443 < /dev/null 2>&1 |4 e W  sed -n '/-----BEGIN/,/-----ENDZ v { v + k K/p' | sed -n '/^--/ c z @---END CERTIFICATE-----/,$ p' | sed 1d > chain.pe( ` B |m

查看网站证书验证ocsp的网址:

openssl x509 -noout -ocsp_h M _ yuri -in haiyun.me.1.cer 

ocsp验证:

openssl ocsp -noverify -no_nonce -issue\ E 4 Y T U c br haiyun.me.2.cer -cert haiyun.me.1.cer -url http://ocsX _ a , F V Tp.int-x3.letsencryp_ h *t.org --text

生成haproxy可用的ocsp文J _ !件:

opeM $ p Y d v R `nssl ocsp -novd E qerify -no_nonce -issuer haiy{ F q . c :un.me.2.cer -cert hair B n f m 4 #yun.me.1.cer -url htt6 D ) v B { 8p://ocsp.int-x3.letsencrypt.org -respout haproxy.ocsp

通过haproxy管理sock更新ocsp:

echo "set ssl ocsp-response `bv ! y E R zase64 -w 0 haproxy.ocY t u _sp`"|sl } v C s ^ocat stdio /var/run/haproxy.sock^ \ % } V : I |  

如果提示以下错误:

OCSP single response: Certificate ID does not match any certig Y x 0ficate or issuer.

因为haproxy有配置多个域名ssl证书,3 R l A需先让haproxy加载ocsp文件再使用sock更新,将ocsp文件保存到haproxy配置的证书目录,名字更改为证书名ocsp,重新启动haproxy则自动加载ocsp文件F W v 5 D M J .
如haproxy使用aL N i _ O 7 Ucme申请的Le? = S $ ^ jt’s Encrypt ecc免费E N B & j – % +证书:

cat fullchain.cer www.haiyun.me.key > www.haiyun.me.pem
mv haproxy.ocsp www.haiyun.me.pem.ocsp

haproxy配置:0 T $ \ D

bind+ % = :443 allow-0rtt ssl crt www.haiyun.me_ecc/www.haiyun.po c 7 ; c wem alpn http/1.1,h2

使用openssl验证网站配置的ocsp是否生效:

openssl s_client -connect www.haiyun.me:443 -status -tW Z Z X g 0lsextdebug < /dev/null 2>&amg T Y f 5p;1 | sed -n '/OCSP Response Data:/,/======/p'

https://github.com/pierky/haproxy-ocsp-stapling-updater
httpo 2 j A r Ys://icicimov.1 H # 3github.io/blog/server/HAProxyg S + T [ % i-OCSP-stapling/
htt^ j $ Z ~ ? Pps://raymii.org/s/articles/OpenSSL_Manually_Verify_a_certificate_against_an_OCSP.html
https://imququ.com/post/why-can-np T I M f pot-turn-on-ocsp-stapling.html

发表评论

您的电子邮箱地址不会被公开。 必填项已用*标注