We are happy to announce that Vesta is back under active development as of 25 February 2024. We are working on v1 candidate and expect to engage more with the community over the coming months. We are committed to open source, and we encourage contributors to help us build the future of Vesta.
OCSP Stapling
-
- Posts: 142
- Joined: Sun Aug 10, 2014 1:32 pm
OCSP Stapling
Подскажите пожалуйста, как можно настроить OCSP Stapling на vestacp, чтобы ничего не сломать? :) В самой панели такого не обнаружил.
-
- Posts: 142
- Joined: Sun Aug 10, 2014 1:32 pm
Re: OCSP Stapling
Так мне кто-нибудь сможет ответить?
Re: OCSP Stapling
Он настраивается также, как и везде в nginxSPEC1AL1ST wrote:Подскажите пожалуйста, как можно настроить OCSP Stapling на vestacp, чтобы ничего не сломать? :) В самой панели такого не обнаружил.
Code: Select all
ssl_session_cache shared:SSL:10m;
ssl_session_timeout 5m;
ssl_prefer_server_ciphers on;
ssl_stapling on;
ssl_stapling_verify on;
ssl_trusted_certificate "/path/to/your/ssl/ca-certs.pem"; <-- вот эту часть нужно нарыть
resolver 8.8.8.8 8.8.4.4 valid=300s;
resolver_timeout 5s;
Re: OCSP Stapling
Рано или поздно, рано или поздно.SPEC1AL1ST wrote:Так мне кто-нибудь сможет ответить?
Вообще есть прекрасная статья:
Добиваемся OCSP stapling = Yes для сертификатов от WoSign на Nginx - https://habrahabr.ru/post/254231/
Принципы одни и те же.
-
- Posts: 142
- Joined: Sun Aug 10, 2014 1:32 pm
Re: OCSP Stapling
Читал. Команды те же? Мне главное команды
Re: OCSP Stapling
Я вас уверяю, что nginx используется тот же самый, что и в остальным мире :)SPEC1AL1ST wrote:Читал. Команды те же? Мне главное команды
На моих боевых серверах эта секция выглядит вот так:
Code: Select all
ssl_session_cache shared:SSL:50m;
ssl_buffer_size 1400;
ssl_session_timeout 24h;
ssl_protocols TLSv1.2;
ssl_prefer_server_ciphers on;
resolver 8.8.8.8 8.8.4.4;
resolver_timeout 10s;
ssl_stapling on;
ssl_stapling_verify on;
ssl_dhparam /etc/nginx/cert/dhparam.pem;
ssl_trusted_certificate /etc/nginx/cert/trustchain.crt;
ssl_ciphers AES256+EECDH:AES256+EDH:!aNULL;
-
- Posts: 142
- Joined: Sun Aug 10, 2014 1:32 pm
Re: OCSP Stapling
Спасибо. А как для каждого сайта с https это сделать? В какой файл лезть? На хабре не слишком подробно описывают :(
И где взять файл dhparam.pem ? Очень много не понятного :(
И где взять файл dhparam.pem ? Очень много не понятного :(
Re: OCSP Stapling
Перечисленные параметры указать в /etc/nginx.conf - раздел SSL PCI ComplianceSPEC1AL1ST wrote:Спасибо. А как для каждого сайта с https это сделать? В какой файл лезть? На хабре не слишком подробно описывают :(
Они будут наследоваться на остальные конфиги.
Генерировать.SPEC1AL1ST wrote:И где взять файл dhparam.pem ? Очень много не понятного :(
Code: Select all
openssl dhparam -out /etc/nginx/cert/dhparam.pem 4096
-
- Posts: 142
- Joined: Sun Aug 10, 2014 1:32 pm
Re: OCSP Stapling
DH ключ создал, подключил, уже не пишет, что сервер подвержен атакам :)
Спасибо!!!
Но OCSP еще бодается
Я использовал ваши данные для nginx
Прописал в home/admin/conf/web/snginx.conf следующее из гайда на хабре:
И все равно не работает...
Спасибо!!!
Но OCSP еще бодается
Я использовал ваши данные для nginx
Code: Select all
ssl_session_cache shared:SSL:50m;
ssl_buffer_size 1400;
ssl_session_timeout 24h;
ssl_protocols TLSv1.2;
ssl_prefer_server_ciphers on;
resolver 8.8.8.8 8.8.4.4;
resolver_timeout 10s;
ssl_stapling on;
ssl_stapling_verify on;
ssl_dhparam /etc/nginx/cert/dhparam.pem;
ssl_trusted_certificate /etc/nginx/cert/ca-certs.pem;
ssl_ciphers AES256+EECDH:AES256+EDH:!aNULL;
Code: Select all
ssl on;
ssl_certificate /home/admin/conf/web/ssl.eve-ua.com.crt;
ssl_certificate_key /home/admin/conf/web/ssl.eve-ua.com.key;
ssl_protocols TLSv1 TLSv1.1 TLSv1.2;
ssl_ciphers 'HIGH:!aNULL:!MD5:!kEDH';
add_header Strict-Transport-Security "max-age=31536000; includeSubdomains;";
Last edited by SPEC1AL1ST on Fri Apr 29, 2016 1:44 pm, edited 1 time in total.