OCSP是用来检验证书合法性的在线查询服务，当我们通过HTTPS访问网站的时候,客户端(浏览器或其他设备)会首先通过证书颁发机构的证书吊销列表（CRL）或者数字证书在线状态协议(OCSP)记录验证网站服务器的证书是否有效。下面为大家介绍的是如何开启网站的OCSP Stapling服务的相关内容。

什么是OCSP Stapling

为了降低客户端每次去访问OCSP服务器查询SSL证书的状态所耗费的时间，OCSP Stapling机制就非常先进, 该机制会在客户端和服务器发生TLS握手的过程中发送缓存在网站服务器上的OCSP权威记录到客户端进行证书验证。这样一来，客户端就无需每次都向CA的OCSP进行查询了，同时也降低了由于CA OCSP服务器被DDos造成证书无法验证的事件发生的可能性。

如何开启OCSP Stapling

首先要确认服务器环境是否支持，Nginx版本必须大于或等于1.3.7，其它web服务器请参考官方文档

获取证书ocsp服务地址，找到证书公钥，在windows系统上面打开，当然也可以在浏览器上面查看，详细信息（显示-所有）–授权信息访问，如下图：

获取证书的中级根chain.crt和用户公钥public.crt ，按照下面的命令生成ocsp-stapling文件

Openssl ocsp -issuer  chain.crt -cert  public.crt -url http://hc.symcd.com -header “HOST” “hc.symcd.com” -text -respout  morong.ocsp

拷贝morong.ocsp文件到服务器，在Nginx服务器的ssl证书配置语句里面添加如下代码：

ssl_stapling on;

ssl_stapling_verify on;

ssl_stapling_file /morong.ocsp;   #路径可以自己指定

ssl_trusted_certificate  /nginx/conf/sslkey/chain.crt;    #中级根

重启Nginx，ocsp stapling即可生效，可以通过https://www.ssllabs.com/ssltest/来进行检查,开启了ocsp stapling，检测结果ocsp stapling项是Yes表示已经成功开启，截图如下：

 

以上，是为大家分享的“如何开启网站的OCSP Stapling 服务”的全部内容，如果用户遇到的问题不能解决，可通过wosign官网客服寻求帮助，凡是选择wosign ssl证书的网站用户，wosign可提供免费一对一的ssl证书技术部署支持，免除后顾之忧。

相关资讯

内网OCSP创建和部署方法指南

Linux或windows服务器一台；安装有Apache2.2.*(自带有Openssl)或有单独安装Openssl工具以上版本；SSL证书一张(备注：根据自己申请到的证书使用,通用其它版本证书)；

2017 WWDC：苹果新版系统对SSL做了什么

如果将其标记为已撤销，客户端将执行实时OCSP检查以确认是否准确。一旦确认，客户端就明白证书被撤销，拒绝建立连接。如果服务器提供OCSP Stapling响应，它将使用OCSP Stapling作为确认，而不是执行实时检查。如果证书没有被集中列表标记为已撤销，则不使用OCSP。

最新资讯

什么是数字证书,数字证书有什么作用?

如何获取免费的https证书？

如何在wamp环境下配置ssl证书？

https加密真的可以保护用户隐私吗？

自签名的SSL证书怎么样，安全吗?

标签推荐：ssl证书过期 | 阿里云ssl证书 | https证书申请| 数字签名技术| 火狐浏览器证书| ssl证书更新