OCSP(Online Certificate Status Protocol,在线证书状态协议)是由数字证书颁发机构CA(Certificate Authority)提供的用于客户端实时验证证书的合法性和有效性的协议。客户端的每次请求都会向CA进行OCSP查询,以确认证书的合法性和有效性,但频繁的OCSP查询请求导致TLS握手效率较低,影响用户访问速度。
以下配置方法仅供参考,请根据自己的实际情况配置:
1、Nginx配置教程:
server {
listen 443 ssl;
server_name your_domain.com;
ssl_certificate /path/to/your_certificate.crt;
ssl_certificate_key /path/to/your_certificate_key.key;
ssl_trusted_certificate /path/to/your_trusted_certificate_chain.crt;
ssl_stapling on;
ssl_stapling_verify on;
resolver 8.8.8.8 8.8.4.4 valid=300s;
resolver_timeout 5s;
其他配置
}ssl_certificate 指向你的 SSL 证书文件。
ssl_certificate_key 指向你的 SSL 证书密钥文件。
ssl_trusted_certificate 指向你的完整证书链文件(包括根证书和中间证书)。
resolver 和 resolver_timeout 用于指定 DNS 解析器,帮助验证 OCSP 响应。
保存配置文件,然后重新加载 Nginx 配置:
sudo nginx -s reload
这样就启用了 OCSP Stapling。
2、Apache配置教程:
打开你的 Apache 配置文件添加以下指令:
ServerName your_domain.com SSLEngine on SSLCertificateFile /path/to/your_certificate.crt SSLCertificateKeyFile /path/to/your_certificate_key.key SSLCertificateChainFile /path/to/your_certificate_chain.crt SSLUseStapling on SSLStaplingResponderTimeout 5 SSLStaplingReturnResponderErrors off SSLStaplingCache "shmcb:/var/run/ocsp(128000)" ......
SSLCertificateFile 指向你的 SSL 证书文件。
SSLCertificateKeyFile 指向你的 SSL 证书密钥文件。
SSLCertificateChainFile 指向你的完整证书链文件(包括根证书和中间证书)。
SSLUseStapling 启用 OCSP Stapling。
SSLStaplingResponderTimeout 设置 OCSP 响应的超时时间。
SSLStaplingReturnResponderErrors 设置是否返回 OCSP 响应错误。
SSLStaplingCache 设置 OCSP Stapling 的缓存位置和大小。
保存配置文件,然后重新加载 Apache 配置:
sudo systemctl reload apache2 或 sudo systemctl reload httpd
3、IIS 配置教程:
打开 IIS 管理器。
在左侧连接窗口中选择你的服务器名称。
在中间的功能视图中,双击 “SSL 设置”。
在右侧操作窗口中,点击 “高级设置”。
在弹出的对话框中,找到 “启用 OCSP Stapling” 选项并将其设置为 “True”。
点击 “确定” 保存设置。
完成以上步骤后,OCSP Stapling 就会在 IIS 上启用。
- 扫一扫二维码可分享朋友或朋友圈
