一句話概括就是:OCSP 是server 把自己的站點證書和中間證書以及根證書打包一起下發到客戶端,省去客戶端查詢的過程。
OCSP實時查詢會增加客戶端的性能開銷。因此,可以考慮通過OCSP stapling的方案來解決:OCSP stapling是一種允許在TLS握手中包含吊銷信息的協議功能,啟用OCSP stapling后,服務端可以代替客戶端完成證書吊銷狀態的檢測,並將全部信息在握手過程中返回給客戶端。增加的握手信息大小在1KB以內,但省去了用戶代理獨立驗證吊銷狀態的時間。
啟用OCSP stapling的方式有很多種,比如在線校驗。此方式需要支持服務器能夠主動訪問證書校驗服務器才能生效,並且在每次重啟nginx的時候會主動請求一次,如果網絡不通會導致nginx啟動緩慢。
# 啟用OCSP stapling
ssl_stapling on;
# valid表示緩存5分鍾,resolver_timeout表示網絡超時時間
resolver 8.8.8.8 8.8.4.4 223.5.5.5 valid=300s;
resolver_timeout 5s;
# 啟用OCSP響應驗證,OCSP信息響應適用的證書
ssl_stapling_verify on;
ssl_trusted_certificate /usr/local/nginx/ssl_cert/cd.crt;
為了更可靠,你也可以人工負責更新文件內容,設定Nginx直接從文件獲取OCSP響應而無需從服務商拉取。
# 啟用OCSP stapling
ssl_stapling on;
ssl_stapling_file /usr/local/nginx/oscp/stapling_file.ocsp;
# 啟用OCSP響應驗證,OCSP信息響應適用的證書
ssl_stapling_verify on;
ssl_trusted_certificate /usr/local/nginx/ssl_cert/cd.crt;
nginx配置示例 *.conf文件
# OCSP Stapling
# fetch OCSP records from URL in ssl_certificate and cache them
ssl_stapling on;
ssl_stapling_verify on;
resolver 114.114.114.114 8.8.8.8 8.8.4.4 223.5.5.5 valid=300s;
resolver_timeout 5s;
ssl_trusted_certificate chain.pem;
操作指導可以看這篇詳細的 https://quchao.com/entry/how-to-configure-ocsp-stapling-on-nginx-for-the-certificates-issued-by-lets-encrypt/
from https://blog.csdn.net/supertor/article/details/84861500