如何开启网站的OCSP Stapling 服务?
发布日期:2018-09-29OCSP是用来检验证书合法性的在线查询服务,当我们通过HTTPS访问网站的时候,客户端(浏览器或其他设备)会首先通过证书颁发机构的证书吊销列表(CRL)或者数字证书在线状态协议(OCSP)记录验证网站服务器的证书是否有效。下面为大家介绍的是如何开启网站的OCSP Stapling服务的相关内容。
什么是OCSP Stapling
为了降低客户端每次去访问OCSP服务器查询SSL证书的状态所耗费的时间,OCSP Stapling机制就非常先进, 该机制会在客户端和服务器发生TLS握手的过程中发送缓存在网站服务器上的OCSP权威记录到客户端进行证书验证。这样一来,客户端就无需每次都向CA的OCSP进行查询了,同时也降低了由于CA OCSP服务器被DDos造成证书无法验证的事件发生的可能性。
如何开启OCSP Stapling
首先要确认服务器环境是否支持,Nginx版本必须大于或等于1.3.7,其它web服务器请参考官方文档
获取证书ocsp服务地址,找到证书公钥,在windows系统上面打开,当然也可以在浏览器上面查看,详细信息(显示-所有)–授权信息访问,如下图:
获取证书的中级根chain.crt和用户公钥public.crt ,按照下面的命令生成ocsp-stapling文件
Openssl ocsp -issuer chain.crt -cert public.crt -url http://hc.symcd.com -header “HOST” “hc.symcd.com” -text -respout morong.ocsp
拷贝morong.ocsp文件到服务器,在Nginx服务器的ssl证书配置语句里面添加如下代码:
ssl_stapling on;
ssl_stapling_verify on;
ssl_stapling_file /morong.ocsp; #路径可以自己指定
ssl_trusted_certificate /nginx/conf/sslkey/chain.crt; #中级根
重启Nginx,ocsp stapling即可生效,可以通过https://www.ssllabs.com/ssltest/来进行检查,开启了ocsp stapling,检测结果ocsp stapling项是Yes表示已经成功开启,截图如下:
以上,是为大家分享的“如何开启网站的OCSP Stapling 服务”的全部内容,如果用户遇到的问题不能解决,可通过wosign官网客服寻求帮助,凡是选择wosign ssl证书的网站用户,wosign可提供免费一对一的ssl证书技术部署支持,免除后顾之忧。
相关资讯
Linux或windows服务器一台;安装有Apache2.2.*(自带有Openssl)或有单独安装Openssl工具以上版本;SSL证书一张(备注:根据自己申请到的证书使用,通用其它版本证书);
如果将其标记为已撤销,客户端将执行实时OCSP检查以确认是否准确。一旦确认,客户端就明白证书被撤销,拒绝建立连接。如果服务器提供OCSP Stapling响应,它将使用OCSP Stapling作为确认,而不是执行实时检查。如果证书没有被集中列表标记为已撤销,则不使用OCSP。
最新资讯
标签推荐:ssl证书过期 | 阿里云ssl证书 | https证书申请| 数字签名技术| 火狐浏览器证书| ssl证书更新