首页>安全资讯>如何开启网站的OCSP Stapling 服务?

如何开启网站的OCSP Stapling 服务?

OCSP是用来检验证书合法性的在线查询服务,当我们通过HTTPS访问网站的时候,客户端(浏览器或其他设备)会首先通过证书颁发机构的证书吊销列表(CRL)或者数字证书在线状态协议(OCSP)记录验证网站服务器的证书是否有效。下面为大家介绍的是如何开启网站的OCSP Stapling服务的相关内容。

什么是OCSP Stapling

为了降低客户端每次去访问OCSP服务器查询SSL证书的状态所耗费的时间,OCSP Stapling机制就非常先进, 该机制会在客户端和服务器发生TLS握手的过程中发送缓存在网站服务器上的OCSP权威记录到客户端进行证书验证。这样一来,客户端就无需每次都向CA的OCSP进行查询了,同时也降低了由于CA OCSP服务器被DDos造成证书无法验证的事件发生的可能性。

如何开启OCSP Stapling

首先要确认服务器环境是否支持,Nginx版本必须大于或等于1.3.7,其它web服务器请参考官方文档

获取证书ocsp服务地址,找到证书公钥,在windows系统上面打开,当然也可以在浏览器上面查看,详细信息(显示-所有)–授权信息访问,如下图:

获取证书的中级根chain.crt和用户公钥public.crt ,按照下面的命令生成ocsp-stapling文件

Openssl ocsp -issuer  chain.crt -cert  public.crt -url http://hc.symcd.com -header “HOST” “hc.symcd.com” -text -respout  morong.ocsp

拷贝morong.ocsp文件到服务器,在Nginx服务器的ssl证书配置语句里面添加如下代码:

ssl_stapling on;

ssl_stapling_verify on;

ssl_stapling_file /morong.ocsp;   #路径可以自己指定

ssl_trusted_certificate  /nginx/conf/sslkey/chain.crt;    #中级根

重启Nginx,ocsp stapling即可生效,可以通过https://www.ssllabs.com/ssltest/来进行检查,开启了ocsp stapling,检测结果ocsp stapling项是Yes表示已经成功开启,截图如下:

 

以上,是为大家分享的“如何开启网站的OCSP Stapling 服务”的全部内容,如果用户遇到的问题不能解决,可通过wosign官网客服寻求帮助,凡是选择wosign ssl证书的网站用户,wosign可提供免费一对一的ssl证书技术部署支持,免除后顾之忧。

相关资讯

内网OCSP创建和部署方法指南

Linux或windows服务器一台;安装有Apache2.2.*(自带有Openssl)或有单独安装Openssl工具以上版本;SSL证书一张(备注:根据自己申请到的证书使用,通用其它版本证书);

2017 WWDC:苹果新版系统对SSL做了什么

如果将其标记为已撤销,客户端将执行实时OCSP检查以确认是否准确。一旦确认,客户端就明白证书被撤销,拒绝建立连接。如果服务器提供OCSP Stapling响应,它将使用OCSP Stapling作为确认,而不是执行实时检查。如果证书没有被集中列表标记为已撤销,则不使用OCSP。

最新资讯

什么是数字证书,数字证书有什么作用?

如何获取免费的https证书?

如何在wamp环境下配置ssl证书?

https加密真的可以保护用户隐私吗?

自签名的SSL证书怎么样,安全吗?

标签推荐:ssl证书过期 | 阿里云ssl证书 | https证书申请| 数字签名技术| 火狐浏览器证书| ssl证书更新