Nginx 实现OCSP Stapling
什么是OCSP Stapling
OCSP的全称是Online Certificate Status Protocol,在线证书状态协议。它是一个用于检查证书状态的协议,客户端使用此协议来检查证书是否被撤销。而OCSP Stapling,是指服务端主动获取 OCSP 查询结果并随着握手协商时一起发送给客户端,从而让客户端免去自己验证的过程,提高 TLS 握手效率。
Web容器版本支持
Nginx version 1.3.7以上支持
Apache Server 2.3.3+ 以上支持
自动OCSP Stapling
server {listen 443 ssl;server_name www.xxx.cn;ssl_stapling on;ssl_stapling_verify on;resolver 8.8.8.8 8.8.4.4 valid=300s; #设置OCSP请求的DNS服务器地址resolver_timeout 5s;ssl_trusted_certificate ca.pem; #ca.pem为证书的中级CA证书}
配置修改完成后,需要重启nginx服务规则才会生效。
手动开启OCSP Stapling
1,获取证书的OCSP地址
命令:openssl x509 -in server.pem -noout -ocsp_uri *server.pem为服务器证书公钥文件。
手动:双击打开.cer格式服务器证书-详细信息-颁发机构信息访问/授权信息访问-联机证书状态协议中的http链接地址:http://ocsp2.globalsign.com/gsorganizationvalsha2g2
2,制作stapling.ocsp文件
openssl ocsp -CAfile root.pem -issuer ca.pem -cert server.pem -url http://ocsp2.globalsign.com/gsorganizationvalsha2g2 -text -respout ./stapling.ocsp -header "HOST" "ocsp2.globalsign.com"
其中root.pem为中级CA证书和顶级根证书,ca.pem为中级CA证书,server.pem为服务器证书。
注:stapling.ocsp具备生命周期,需每次在update到期之前更新,建议可以编辑自动化任务脚本进行更新。
3、在Nginx.conf添加如下内容到https站点配置中
server {listen 443 ssl;server_name www.xxxx.cn;ssl_stapling on;ssl_stapling_verify on;resolver 8.8.8.8 8.8.4.4 valid=300s;resolver_timeout 5s;ssl_stapling_file /etc/nginx/cert/stapling.ocsp;ssl_trusted_certificate ca.pem;}
4、验证OCSP Stapling 状态
openssl s_client -connect youdomino.com:443 -tlsextdebug –status
已开启
OCSP response: OCSP Response Data: OCSP Response Status: successful (0x0) Response Type: Basic OCSP Response ……
未开启
OCSP response: no response sent ……
Nginx 实现OCSP Stapling相关推荐
- 如何在Apache和Nginx开启 OCSP Stapling
在<什么是OCSP Stapling>文章中提及过OCSP Stapling是为了提高SSL协商的性能,同时保持访问者的隐私而生的.那么如何开启OCSP Stapling服务呢.本教程将介 ...
- ocsp和ldap 区别_HTTPS 时代 - 动态加载证书和 OCSP stapling - 《OpenResty 最佳实践》 - 书栈网 · BookStack...
动态加载证书和 OCSP stapling 一个标准的 Nginx ssl 配置必然包含这两行: ssl_certificate example.com.crt; ssl_certificate_ke ...
- Nginx开启OCSP装订 (Let‘s Encrypt)
一.简介 OCSP Stapling 功能是由CDN服务器查询OCSP(Online Certificate Status Protocol)信息,可以降低客户端验证请求延迟,减少等待查询结果的响应时 ...
- ocsp服务器的证书状态如何查询,站点ocsp stapling检查、检查https 站点ocsp stapling配置、检查站点证书吊销状态信息...
https://www.bing.com检测结果 ocsp stapling:支持 原始信息 OCSP Response Status: successful (0x0) Response Type: ...
- 什么是OCSP Stapling
随着人们对网络安全意识的增强,越来越多的网站已实现了HTTPS加密,在安全性方面有了质的飞跃,提升了访问者对网站的信赖,但是当客户端访问OCSP服务器延时较高时,打开链接的速度相对较慢又会让访客流失. ...
- CDN通过openresty库实现ocsp stapling,有效提升客户端回源效率
背景 最近在开发CDN在线加速功能,各个CDN厂商都支持了oscp stapling 功能,所以我们的产品必须也要实现它.实现它的好处就是:可以省掉浏览器和CA机构的服务器校验证书的时间,这样可以提高 ...
- Nginx 关于 OCSP 的调试部署
因为某些浏览器的原因,可能我们需要为证书配置 OCSP . 花了一下午进行调试和整理,现在已经成功,现在写下心得. 证书是在 PositiveSSL 购买的,也就是现在的 Comodo 证书. 如何生 ...
- nginx优化https(ocsp)
前言 当用户使用客户端或其他的设备访问https网站时,需要先验证https证书,验证方式有两种: 证书颁发机构(ca)的证书吊销列表(CRL),CRL列出被认为不能再使用的证书的序列号.客户端通过访 ...
- https 请求白屏_记一次HTTPS性能优化
为了解决部分 ios 打开 h5 网页很慢的情况(参考地址:https://developers.weixin.qq.com/community/develop/doc/000a6671efc968a ...
最新文章
- PyTorch攻势凶猛,程序员正在抛弃TensorFlow?
- Linux 内核网络子系统 总结 (未完待续)
- 【赠书】金融领域可解释机器学习模型与实践
- Linux内核链表访问链表头指针,linux内核——链表结构分析
- mpvue 从零开始 女友初成长 0
- mysql atlas更新问题_Atlas几种常见故障解决(不定期更新)
- 论文浅尝 - AAAI2021 | 基于对比学习的三元组生成式抽取方法
- Python中矩阵库Numpy基本操作
- 完美海报设计的4个技巧
- Matlab语音倍速播放
- redis 之 ae 模型测试
- Excel 快捷键学习笔记
- 2022-爬虫-Selenium-百度安全验证
- Your account has been flagged. Because of that, your profile is hidden from the public. If you belie
- 计算机ram结构,2017年全国计算机考试四级复习纲要:RAM的结构、组织及其应用...
- linux操作系统下 c语言编程入门
- TAZ生成实践(Intel芯片Mac Python 3.7.9)
- 华为天才少年造出自动驾驶单车!图纸已开源,硬件成本一万!
- 电视剧《雪中悍刀行》剧情
- 给惊云下载系统添加ewebeditor编辑器