這篇文章主要介紹Nginx如何啟用OCSP Stapling，文中介紹的非常詳細(xì)，具有一定的參考價值，感興趣的小伙伴們一定要看完！

成都地區(qū)優(yōu)秀IDC服務(wù)器托管提供商(創(chuàng)新互聯(lián)建站).為客戶提供專業(yè)的IDC機(jī)房托管,四川各地服務(wù)器托管,IDC機(jī)房托管、多線服務(wù)器托管.托管咨詢專線：13518219792

在線證書狀態(tài)協(xié)議（Online Certificate Status Protocol），簡稱 OCSP，是一個用于獲取 X.509 數(shù)字證書撤銷狀態(tài)的網(wǎng)際協(xié)議，在 RFC 6960 中定義。OCSP 用于檢驗證書合法性，查詢服務(wù)一般由證書所屬 CA 提供。OCSP 查詢的本質(zhì)，是一次完整的 HTTP 請求加響應(yīng)的過程，這中間涵括的 DNS 查詢、建立 TCP 連接、Web 端工作等步驟，都將耗費更多時間，使得建立 TLS 花費更多時長。

而這時，OCSP Stapling 出現(xiàn)了。經(jīng)由 OCSP Stapling（OCSP 封套），Web 端將主動獲取 OCSP 查詢結(jié)果，并隨證書一起發(fā)送給客戶端，以此讓客戶端跳過自己去尋求驗證的過程，提高 TLS 握手效率。

生成 OCSP Stapling 文件

經(jīng)過以下步驟生成所需的用于 OCSP Stapling 驗證的文件

首先，需要準(zhǔn)備三份證書：

站點證書（website.pem）+ 根證書（root.pem）+ 中間證書（intermediate.pem）

中間證書和根證書，需要根據(jù)你的證書的 CA，去下載對應(yīng)的證書

以下列出了 Let's Encrypt 的中間證書和根證書的下載地址：

根證書：
DST Root CA X3 https://ssl-tools.net/certificates/dac9024f54d8f6df94935fb1732638ca6ad77c13.pem
ISRG Root X1 https://letsencrypt.org/certs/isrgrootx1.pem

中間證書：
Let's Encrypt Authority X1 https://letsencrypt.org/certs/lets-encrypt-x1-cross-signed.pem
Let's Encrypt Authority X2 https://letsencrypt.org/certs/lets-encrypt-x2-cross-signed.pem
Let's Encrypt Authority X3 https://letsencrypt.org/certs/lets-encrypt-x3-cross-signed.pem
Let's Encrypt Authority X4 https://letsencrypt.org/certs/lets-encrypt-x4-cross-signed.pem

這里以 DST Root CA X3 根證書 + Let's Encrypt Authority X3 中間證書 為例（現(xiàn)在 Let's Encrypt 簽發(fā)的證書基本都是這樣的組合）：

# 下載根證書和中間證書
wget -O root.pem https://ssl-tools.net/certificates/dac9024f54d8f6df94935fb1732638ca6ad77c13.pem
wget -O intermediate.pem https://letsencrypt.org/certs/lets-encrypt-x3-cross-signed.pem

# 生成 OCSP Stapling 驗證文件
# 注意，中間證書在上、根證書在下
cat cat intermediate.pem > chained.pem
cat root.pem >> chained.pem

這樣，生成的 chained.pem 就是所需的 OCSP Stapling 驗證文件。

OCSP Stapling Response

openssl x509 -in website.pem -noout -ocsp_uri

使用這個命令后，返回你的證書對應(yīng)的 OCSP 服務(wù)地址

例如，Let's Encrypt 現(xiàn)在的 OCSP 服務(wù)地址是 http://ocsp.int-x3.letsencrypt.org/

以 Let's Encrypt 為例，獲取站點證書的 OCSP Response

openssl ocsp -no_nonce \
  -issuer intermediate.pem \
  -CAfile chained.pem \
  -VAfile chained.pem \
  -cert website.pem \
  -url http://ocsp.int-x3.letsencrypt.org \
  -text

若沒有錯誤，會返回如下：

Response verify OK
website.pem: good
This Update: Oct 24 00:00:41 2017 GMT
Next Update: Oct 31 00:00:41 2017 GMT

Nginx 啟用 OCSP Stapling

ssl_stapling on;
ssl_stapling_verify on;
ssl_trusted_certificate ~/chained.pem;
resolver 208.67.222.222 valid=300s;
resolver_timeout 5s;

然后重啟 Nginx，就成功啟用 OCSP Stapling 了

OCSP Stapling Status

復(fù)制代碼 代碼如下:

openssl s_client -connect sometimesnaive.org:443 -status -tlsextdebug < /dev/null 2>&1 | grep -i "OCSP response"

若站點已成功啟用 OCSP Stapling，會返回以下

OCSP response:
OCSP Response Data:
  OCSP Response Status: successful (0x0)
  Response Type: Basic OCSP Response

若返回這個，明顯就是失敗了

OCSP response: no response sent

也可以訪問 ssllabs 進(jìn)行 SSL 測試，其中也能看到 OCSP Stapling 開啟與否的報告。

以上是“Nginx如何啟用OCSP Stapling”這篇文章的所有內(nèi)容，感謝各位的閱讀！希望分享的內(nèi)容對大家有幫助，更多相關(guān)知識，歡迎關(guān)注創(chuàng)新互聯(lián)成都網(wǎng)站設(shè)計公司行業(yè)資訊頻道！

另外有需要云服務(wù)器可以了解下創(chuàng)新互聯(lián)scvps.cn，海內(nèi)外云服務(wù)器15元起步，三天無理由+7*72小時售后在線，公司持有idc許可證，提供“云服務(wù)器、裸金屬服務(wù)器、高防服務(wù)器、香港服務(wù)器、美國服務(wù)器、虛擬主機(jī)、免備案服務(wù)器”等云主機(jī)租用服務(wù)以及企業(yè)上云的綜合解決方案，具有“安全穩(wěn)定、簡單易用、服務(wù)可用性高、性價比高”等特點與優(yōu)勢，專為企業(yè)上云打造定制，能夠滿足用戶豐富、多元化的應(yīng)用場景需求。

文章標(biāo)題：Nginx如何啟用OCSPStapling-創(chuàng)新互聯(lián)
文章轉(zhuǎn)載：http://chinadenli.net/article12/dpiigc.html

成都網(wǎng)站建設(shè)公司_創(chuàng)新互聯(lián)，為您提供微信公眾號、虛擬主機(jī)、企業(yè)網(wǎng)站制作、小程序開發(fā)、標(biāo)簽優(yōu)化、響應(yīng)式網(wǎng)站

廣告

聲明：本網(wǎng)站發(fā)布的內(nèi)容（圖片、視頻和文字）以用戶投稿、用戶轉(zhuǎn)載內(nèi)容為主，如果涉及侵權(quán)請盡快告知，我們將會在第一時間刪除。文章觀點不代表本網(wǎng)站立場，如需處理請聯(lián)系客服。電話：028-86922220；郵箱：631063699@qq.com。內(nèi)容未經(jīng)允許不得轉(zhuǎn)載，或轉(zhuǎn)載時需注明來源： 創(chuàng)新互聯(lián)