什么是OCSP Stapling

OCSP的全称是Online Certificate Status Protocol,在线证书状态协议。它是一个用于检查证书状态的协议,客户端使用此协议来检查证书是否被撤销。而OCSP Stapling,是指服务端主动获取 OCSP 查询结果并随着握手协商时一起发送给客户端,从而让客户端免去自己验证的过程,提高 TLS 握手效率。

Web容器版本支持

Nginx version 1.3.7以上支持

Apache Server 2.3.3+ 以上支持

自动OCSP Stapling


server {listen 443 ssl;server_name www.xxx.cn;ssl_stapling on;ssl_stapling_verify on;resolver 8.8.8.8 8.8.4.4 valid=300s; #设置OCSP请求的DNS服务器地址resolver_timeout 5s;ssl_trusted_certificate ca.pem; #ca.pem为证书的中级CA证书}

配置修改完成后,需要重启nginx服务规则才会生效。

手动开启OCSP Stapling

1,获取证书的OCSP地址

命令:openssl x509 -in server.pem -noout -ocsp_uri *server.pem为服务器证书公钥文件。

手动:双击打开.cer格式服务器证书-详细信息-颁发机构信息访问/授权信息访问-联机证书状态协议中的http链接地址:http://ocsp2.globalsign.com/gsorganizationvalsha2g2

2,制作stapling.ocsp文件

openssl ocsp -CAfile root.pem -issuer ca.pem -cert server.pem -url   http://ocsp2.globalsign.com/gsorganizationvalsha2g2 -text -respout ./stapling.ocsp -header "HOST" "ocsp2.globalsign.com"

其中root.pem为中级CA证书和顶级根证书,ca.pem为中级CA证书,server.pem为服务器证书。
注:stapling.ocsp具备生命周期,需每次在update到期之前更新,建议可以编辑自动化任务脚本进行更新。

3、在Nginx.conf添加如下内容到https站点配置中

server {listen 443 ssl;server_name www.xxxx.cn;ssl_stapling on;ssl_stapling_verify on;resolver 8.8.8.8 8.8.4.4 valid=300s;resolver_timeout 5s;ssl_stapling_file /etc/nginx/cert/stapling.ocsp;ssl_trusted_certificate ca.pem;}

4、验证OCSP Stapling 状态

openssl s_client -connect  youdomino.com:443 -tlsextdebug –status

已开启

OCSP response: OCSP Response Data: OCSP Response Status: successful (0x0) Response Type: Basic OCSP Response ……

未开启

OCSP response: no response sent ……

Nginx 实现OCSP Stapling相关推荐

  1. 如何在Apache和Nginx开启 OCSP Stapling

    在<什么是OCSP Stapling>文章中提及过OCSP Stapling是为了提高SSL协商的性能,同时保持访问者的隐私而生的.那么如何开启OCSP Stapling服务呢.本教程将介 ...

  2. ocsp和ldap 区别_HTTPS 时代 - 动态加载证书和 OCSP stapling - 《OpenResty 最佳实践》 - 书栈网 · BookStack...

    动态加载证书和 OCSP stapling 一个标准的 Nginx ssl 配置必然包含这两行: ssl_certificate example.com.crt; ssl_certificate_ke ...

  3. Nginx开启OCSP装订 (Let‘s Encrypt)

    一.简介 OCSP Stapling 功能是由CDN服务器查询OCSP(Online Certificate Status Protocol)信息,可以降低客户端验证请求延迟,减少等待查询结果的响应时 ...

  4. ocsp服务器的证书状态如何查询,站点ocsp stapling检查、检查https 站点ocsp stapling配置、检查站点证书吊销状态信息...

    https://www.bing.com检测结果 ocsp stapling:支持 原始信息 OCSP Response Status: successful (0x0) Response Type: ...

  5. 什么是OCSP Stapling

    随着人们对网络安全意识的增强,越来越多的网站已实现了HTTPS加密,在安全性方面有了质的飞跃,提升了访问者对网站的信赖,但是当客户端访问OCSP服务器延时较高时,打开链接的速度相对较慢又会让访客流失. ...

  6. CDN通过openresty库实现ocsp stapling,有效提升客户端回源效率

    背景 最近在开发CDN在线加速功能,各个CDN厂商都支持了oscp stapling 功能,所以我们的产品必须也要实现它.实现它的好处就是:可以省掉浏览器和CA机构的服务器校验证书的时间,这样可以提高 ...

  7. Nginx 关于 OCSP 的调试部署

    因为某些浏览器的原因,可能我们需要为证书配置 OCSP . 花了一下午进行调试和整理,现在已经成功,现在写下心得. 证书是在 PositiveSSL 购买的,也就是现在的 Comodo 证书. 如何生 ...

  8. nginx优化https(ocsp)

    前言 当用户使用客户端或其他的设备访问https网站时,需要先验证https证书,验证方式有两种: 证书颁发机构(ca)的证书吊销列表(CRL),CRL列出被认为不能再使用的证书的序列号.客户端通过访 ...

  9. https 请求白屏_记一次HTTPS性能优化

    为了解决部分 ios 打开 h5 网页很慢的情况(参考地址:https://developers.weixin.qq.com/community/develop/doc/000a6671efc968a ...

最新文章

  1. PyTorch攻势凶猛,程序员正在抛弃TensorFlow?
  2. Linux 内核网络子系统 总结 (未完待续)
  3. 【赠书】金融领域可解释机器学习模型与实践
  4. Linux内核链表访问链表头指针,linux内核——链表结构分析
  5. mpvue 从零开始 女友初成长 0
  6. mysql atlas更新问题_Atlas几种常见故障解决(不定期更新)
  7. 论文浅尝 - AAAI2021 | 基于对比学习的三元组生成式抽取方法
  8. Python中矩阵库Numpy基本操作
  9. 完美海报设计的4个技巧
  10. Matlab语音倍速播放
  11. redis 之 ae 模型测试
  12. Excel 快捷键学习笔记
  13. 2022-爬虫-Selenium-百度安全验证
  14. Your account has been flagged. Because of that, your profile is hidden from the public. If you belie
  15. 计算机ram结构,2017年全国计算机考试四级复习纲要:RAM的结构、组织及其应用...
  16. linux操作系统下 c语言编程入门
  17. TAZ生成实践(Intel芯片Mac Python 3.7.9)
  18. 华为天才少年造出自动驾驶单车!图纸已开源,硬件成本一万!
  19. 电视剧《雪中悍刀行》剧情
  20. 给惊云下载系统添加ewebeditor编辑器

热门文章

  1. 在同一个WiFi下的两台电脑,使用webService 和 axis 实现接口调用
  2. PANGU 生态乐园 NFT 系列上线 The Sandbox 市场平台
  3. 无人值守安装linux7,CentOS7网络无人值守安装
  4. Android中级——色彩处理和图像处理
  5. Qt Qml 查看所有字体、添加字体库、使用字体库的方法
  6. Ansible——Ansible的练习
  7. 我爱打折网55bbs被网易1800万收购
  8. c语言丢手帕,题手帕原文_李希圣古诗_古诗文网
  9. 牛客网错题集合之字符串(一)
  10. String类字符串习题作业