Dalam artikel ini saya akan mengaktifkan OCSP Stapling di nginx, syaratnya nginx harus mempunyai versi minimal 1.3.7.
Saya menggunakan startSSL dalam praktek kali ini. Baiklah kita mulai dengan mengunduh CA bundle dari startSSL.
mkdir /etc/nginx/ssl
cd /etc/nginx/ssl
wget -O - https://www.startssl.com/certs/ca.pem https://www.startssl.com/certs/sub.class1.server.ca.pem | tee -a ca-startssl.pem> /dev/null
Langkah selanjutnya adalah menambahkan parameter di vhost nginx, karena saya menggunakan vhost domain mahyudd.in maka biasanya filenya akan terletak di /etc/nginx/site-avaliable/mahyudd.in.conf. Silakan sesuaikan dengan config anda.
ssl_stapling on;
ssl_stapling_verify on;
ssl_trusted_certificate /etc/nginx/ssl/ca-startssl.pem;
Simpan dan test dari terminal
$ echo QUIT | openssl s_client -connect mahyudd.in:443 -servername mahyudd.in -status 2> /dev/null | grep -A 17 'OCSP response'| grep -B 17 'Next Update'
OCSP response:
======================================
OCSP Response Data:
OCSP Response Status: successful (0x0)
Response Type: Basic OCSP Response
Version: 1 (0x0)
Responder Id: C = IL, O = StartCom Ltd. (Start Commercial Limited), CN = StartCom Class 1 Server OCSP Signer
Produced At: Apr 11 13:33:15 2015 GMT
Responses:
Certificate ID:
Hash Algorithm: sha1
Issuer Name Hash: 6568874F40750F016A3475625E1F5C93E5A26D58
Issuer Key Hash: EB4234D098B0AB9FF41B6B08F7CC642EEF0E2C45
Serial Number: 056CADC897AF49
Cert Status: good
This Update: Apr 11 13:33:15 2015 GMT
Next Update: Apr 13 13:33:15 2015 GMT
Test secara online dapat dilakukan di Qualys. Hasilnya adalah sebagai berikut:
Selamat mencoba