证书能否支持增加 OCSP Must-Staple 标识？

jearton commented 8 months ago

ocsp must staple 是在签发证书时，往证书里追加的相关标识，用于明确告诉浏览器，ocsp 请求必须由服务端装订，即由服务端去查询好证书状态，再返回给浏览器。

目前能够签署出该扩展的证书的CA只有Let's Encrypt。

如果要设置OCSP Must-Staple，需要在使用openssl生成csr的时候，修改openssl.cnf中的内容：

[ v3_req ]
basicConstraints = CA:FALSE
keyUsage = nonRepudiation, digitalSignature, keyEncipherment
subjectAltName = @alt_names
1.3.6.1.5.5.7.1.24 = DER:30:03:02:01:05

在v3_req中添加1.3.6.1.5.5.7.1.24 = DER:30:03:02:01:05。

如果是使用openssl 1.1.0或更高的版本，可以这样设置：

[ v3_req ]
basicConstraints = CA:FALSE
keyUsage = nonRepudiation, digitalSignature, keyEncipherment
subjectAltName = @alt_names
tlsfeature = status_request

添加tlsfeature = status_request即可。

然后生成该csr文件，使用该csr文件，把改csr提交给支持Let's Encrypt证书签发的机构。

0xJacky commented 8 months ago

已在 1c4fb7a 中添加

jearton commented 8 months ago

已在 1c4fb7a 中添加

默认就自动加上了吗？不需要在UI页面上显式勾选吗？

0xJacky / nginx-ui

证书能否支持增加 OCSP Must-Staple 标识？ #292