Vesta Control Panel - Forum

Posted: **Mon Apr 11, 2016 3:25 pm**

Подскажите пожалуйста, как можно настроить OCSP Stapling на vestacp, чтобы ничего не сломать? :) В самой панели такого не обнаружил.

Posted: **Wed Apr 13, 2016 8:23 am**

Поможете?

Posted: **Mon Apr 18, 2016 4:01 pm**

Так мне кто-нибудь сможет ответить?

Posted: **Wed Apr 20, 2016 3:13 pm**

SPEC1AL1ST wrote:Подскажите пожалуйста, как можно настроить OCSP Stapling на vestacp, чтобы ничего не сломать? :) В самой панели такого не обнаружил.

Он настраивается также, как и везде в nginx

Code: Select all

 ssl_session_cache shared:SSL:10m;
 ssl_session_timeout 5m;
 ssl_prefer_server_ciphers on;

 ssl_stapling on;
 ssl_stapling_verify on;
 ssl_trusted_certificate "/path/to/your/ssl/ca-certs.pem"; <-- вот эту часть нужно нарыть

 resolver 8.8.8.8 8.8.4.4 valid=300s;
 resolver_timeout 5s;

Posted: **Wed Apr 20, 2016 3:14 pm**

SPEC1AL1ST wrote:Так мне кто-нибудь сможет ответить?

Рано или поздно, рано или поздно.

Вообще есть прекрасная статья:
Добиваемся OCSP stapling = Yes для сертификатов от WoSign на Nginx - https://habrahabr.ru/post/254231/

Принципы одни и те же.

Posted: **Wed Apr 20, 2016 3:21 pm**

Читал. Команды те же? Мне главное команды

Posted: **Wed Apr 20, 2016 8:14 pm**

SPEC1AL1ST wrote:Читал. Команды те же? Мне главное команды

Я вас уверяю, что nginx используется тот же самый, что и в остальным мире :)
На моих боевых серверах эта секция выглядит вот так:

Code: Select all

  ssl_session_cache   shared:SSL:50m;
    ssl_buffer_size 1400;
    ssl_session_timeout 24h;
    ssl_protocols       TLSv1.2;
    ssl_prefer_server_ciphers on;
    resolver 8.8.8.8 8.8.4.4;
    resolver_timeout 10s;
    ssl_stapling on;
    ssl_stapling_verify on;
    ssl_dhparam /etc/nginx/cert/dhparam.pem;
    ssl_trusted_certificate /etc/nginx/cert/trustchain.crt;
    ssl_ciphers AES256+EECDH:AES256+EDH:!aNULL;

Помимо цепочки для стаплинга я использую еще и DHParam.

Posted: **Thu Apr 21, 2016 2:36 pm**

Спасибо. А как для каждого сайта с https это сделать? В какой файл лезть? На хабре не слишком подробно описывают :(
И где взять файл dhparam.pem ? Очень много не понятного :(

Posted: **Fri Apr 22, 2016 12:58 pm**

SPEC1AL1ST wrote:Спасибо. А как для каждого сайта с https это сделать? В какой файл лезть? На хабре не слишком подробно описывают :(

Перечисленные параметры указать в /etc/nginx.conf - раздел SSL PCI Compliance
Они будут наследоваться на остальные конфиги.

SPEC1AL1ST wrote:И где взять файл dhparam.pem ? Очень много не понятного :(

Генерировать.

Code: Select all

openssl dhparam -out /etc/nginx/cert/dhparam.pem 4096

Posted: **Sun Apr 24, 2016 8:19 pm**

DH ключ создал, подключил, уже не пишет, что сервер подвержен атакам :)
Спасибо!!!
Но OCSP еще бодается
Я использовал ваши данные для nginx

Code: Select all

    ssl_session_cache   shared:SSL:50m;
    ssl_buffer_size 1400;
    ssl_session_timeout 24h;
    ssl_protocols       TLSv1.2;
    ssl_prefer_server_ciphers on;
    resolver 8.8.8.8 8.8.4.4;
    resolver_timeout 10s;
    ssl_stapling on;
    ssl_stapling_verify on;
    ssl_dhparam /etc/nginx/cert/dhparam.pem;
    ssl_trusted_certificate /etc/nginx/cert/ca-certs.pem;
    ssl_ciphers AES256+EECDH:AES256+EDH:!aNULL;

Прописал в home/admin/conf/web/snginx.conf следующее из гайда на хабре:

Code: Select all

ssl on;
        ssl_certificate /home/admin/conf/web/ssl.eve-ua.com.crt;
        ssl_certificate_key /home/admin/conf/web/ssl.eve-ua.com.key;
        ssl_protocols TLSv1 TLSv1.1 TLSv1.2; 
        ssl_ciphers 'HIGH:!aNULL:!MD5:!kEDH';
        add_header Strict-Transport-Security "max-age=31536000; includeSubdomains;";

И все равно не работает...

Vesta Control Panel - Forum

OCSP Stapling

OCSP Stapling

Re: OCSP Stapling

Re: OCSP Stapling

Re: OCSP Stapling

Re: OCSP Stapling

Re: OCSP Stapling

Re: OCSP Stapling

Re: OCSP Stapling

Re: OCSP Stapling

Re: OCSP Stapling