宝塔面板在nginx环境下,开启OCSP装订(OCSP Stapling)

我们先来看OCSP 装订(OCSP Stapling)的作用,从自维基百科可以得知:OCSP装订解决了在线证书协议中的大多数问题,CA给网站颁发证书之后,网站的每个访问者都会进行OCSP查询。因此OCSP装订(英语:OCSP Stapling),正式名称为TLS证书状态查询扩展,可代替在线证书状态协议(OCSP)来查询X.509证书的状态。服务器在TLS握手时发送事先缓存的OCSP响应,用户只需验证该响应的有效性而不用再向数字证书认证机构(CA)发送请求。

其实就是可以加速网站访问,尤其对于OCSP服务器遭受DNS污染(尤指之前Let's Encrypt证书服务器被污染),或者OCSP服务器在境外的网站。如题,这就是一个非常简单的小技巧,之前上百度上搜到的一些教程都太不管用了,所以就自己写了下。

其实很简单:

1.确认证书链

首先确认你的SSL证书链必须为完整证书链,你可以使用 https://myssl.com/ 进行检测,如果证书链不完整,也很简单,你需要在这个链接https://myssl.com/chain_download.html 对证书链进行修复。

打开宝塔的SSL证书页面,选择并复制所有的字符

输入之后点击 获取证书链

接着再把RSA证书链中的所有字符复制到宝塔SSL证书(PEM格式)中即可

2.修改配置文件

点击站点的配置文件

在第15行(不同的nginx配置可能不同)#HTTP_TO_HTTPS_END 下面添加

ssl_stapling on; 
ssl_stapling_verify on;

按下保存即可

3.检测

配置完成之后,你可以登录 https://myssl.com/ 进行检测,当你在协议详情中看到 OCSP 装订:支持,就大功告成了!!!

作者:zd小达 出处:bilibili

相关推荐

微信扫一扫,分享到朋友圈

宝塔面板在nginx环境下,开启OCSP装订(OCSP Stapling)