NginxでのOCSP Stapling設定方法

以下の手順でNginxでのOCSP staplingの設定ができます。
OCSP staplingについてはOCSP Staplingを参照してください。

Nginx のバージョンチェック

Nginx 1.3.7 以降でOCSP Staplingが利用できます。
以下のコマンドで Nginx のバージョンをチェックしてください。

# nginx -v

OCSPレスポンダーサーバーへの接続を確認

Nginxが稼働しているサーバーで以下のコマンドを実行してください。

# curl ocsp.digicert.com/ping.html

You have successfully reached the DigiCert OCSP Service と表示されれば正しく接続できています。

※「curl」がインストールされていない場合は以下を実行してください。

# wget ocsp.digicert.com/ping.html

ping.htmlファイルがダウンロードされます。以下のコマンドで ping.html ファイルの内容を確認してください。

# cat ping.html

You have successfully reached the DigiCert OCSP Service と表示されれば正しく接続できています。

Nginx の設定ファイルで OCSP Stapling の利用設定

Nginxの設定ファイルでOCSP Staplingの利用設定を行います。

1. SSL 設定ファイルの「server { }」ブロック内に以下の指定を追加します。
   ssl_stapling on;
   ssl_stapling_verify on;

   以下、事例です。

   server
   {

   listen 443 ssl;
   ssl_protocols TLSv1 TLSv1.1 TLSv1.2;

   ssl_certificate /etc/ssl/bundle.crt;
   ssl_certificate_key /etc/ssl/your_domain_name.key;

   ssl_stapling on;
   ssl_stapling_verify on;

   }

2. 以下のコマンドで設定に誤りがないかを確認します。

   # nginx -t

3. 設定に誤りがなければ以下のコマンドで Nginx を再起動します。

   # systemctl restart nginx

OCSPstaplingを検証する

OCSP stapling が正しく機能していることを確認します。

1. 以下のコマンドを実行します。[yoursite.com]の部分にはOCSP staplingを設定したホスト名を入力してください。

   # openssl s_client -connect [yoursite.com]:443 -status

2. 正しく設定されている場合は OCSP Response Data セクションに以下の記述が見つかります。
   OCSP Response Status: successful (0x0)

他のサーバーでのOCSP Stapling設定方法

• Windowsサーバーでの OCSP Stapling設定方法

• Apacheでの OCSP Stapling設定方法