ssl_ocsp_responder
Директива ssl_ocsp_responder указывает URL ответчика OCSP для проверки отзыва SSL-сертификата. — NGINX HTTP Core
Описание
Директива ssl_ocsp_responder в NGINX используется для задания URL ответчика Online Certificate Status Protocol (OCSP), который должен применяться для проверки статуса отзыва SSL/TLS-сертификатов, представляемых сервером в процессе SSL-рукопожатия. Когда клиент подключается к серверу и устанавливает SSL/TLS-сессию, эта директива указывает NGINX проверить, является ли сертификат, представленный клиентом, по-прежнему действительным и не отозван ли он центром сертификации. Это важно для поддержания безопасности и целостности SSL-соединений, чтобы клиенты не доверяли отозванным сертификатам. Эту директиву можно определить в контексте http или server, что позволяет применять её глобально или на уровне конкретного виртуального сервера. Параметром этой директивы является одиночный URL, который должен быть действительной конечной точкой ответчика OCSP. Для реализации этой директивы требуется, чтобы библиотека OpenSSL была скомпилирована с поддержкой OCSP. NGINX будет использовать этот внешний OCSP-сервис для запроса статуса сертификата по мере необходимости в процессе SSL-рукопожатия. Ответ, полученный от ответчика OCSP, помогает определить, принять или отклонить сертификат клиента на основе его текущего статуса.
Пример конфига
server {
listen 443 ssl;
server_name example.com;
ssl_certificate /path/to/certificate.pem;
ssl_certificate_key /path/to/privatekey.pem;
ssl_ocsp_responder http://ocsp.example.com;
}Убедитесь, что URL доступен с сервера, на котором запущен NGINX.
Проверьте, что ваша установка OpenSSL поддерживает OCSP; в противном случае эта директива не будет иметь эффекта.
OCSP responder должен быть правильно настроен и доступен в сети, чтобы отвечать на запросы.