OCSP stapling是Https优化方案之一,将原本需要客户端实时发起的 OCSP 请求转嫁给服务端;
后来,OCSP Stapling 出现了。将原本需要客户端实时发起的 OCSP 请求转嫁给服务端,Web 端将主动获取 OCSP 查询结果,并随证书一起发送给客户端,以此让客户端跳过自己去寻求验证的过程,提高 TLS 握手效率。 可以提高HTTPS性能。
server { listen 443 ssl; server_name xx.xx.com; index index.html index.htm index.jsp; ssl_certificate server.pem;#证书的.cer文件路径 ssl_certificate_key server-key.pem;#证书的.key文件 # 开启 OCSP Stapling ---当客户端访问时 NginX 将去指定的证书中查找 OCSP 服务的地址, 获得响应内容后通过证书链下发给客户端。 ssl_stapling on; ssl_stapling_verify on;# 启用OCSP响应验证,OCSP信息响应适用的证书 ssl_trusted_certificate /path/to/xxx.pem;#若 ssl_certificate 指令指定了完整的证书链,则 ssl_trusted_certificate 可省略。 resolver 8.8.8.8 8.8.4.4 216.146.35.35 216.146.36.36 valid=60s;#添加resolver解析OSCP响应服务器的主机名,valid表示缓存。 resolver_timeout 2s;# resolver_timeout表示网络超时时间
为了缓存的更新时间更可加控,你也可以人工负责更新文件内容。利用 NginX 的 ssl_stapling_file 指令直接将 OCSP 响应存成文件,NginX 从文件获取OCSP响应而无需从服务商拉取,将其随证书下发而不实时查询。
server { listen 443 ssl; server_name xx.xx.com; index index.html index.htm index.jsp; ssl_certificate server.pem;#证书的.cer文件路径 ssl_certificate_key server-key.pem;#证书的.key文件 # 开启 OCSP Stapling ---当客户端访问时 NginX 将去指定的证书中查找 OCSP 服务的地址, 获得响应内容后通过证书链下发给客户端。 ssl_stapling on; ssl_stapling_file /xxx/xxx/stapling_file.ocsp; ssl_stapling_verify on;# 启用OCSP响应验证,OCSP信息响应适用的证书 ssl_trusted_certificate /path/to/xxx.pem;#若 ssl_certificate 指令指定了完整的证书链,则 ssl_trusted_certificate 可省略。
原文:https://www.cnblogs.com/cangqinglang/p/13823213.html