我们先来看OCSP 装订
(OCSP Stapling)的作用,从自维基百科可以得知:OCSP装订解决了在线证书协议中的大多数问题,CA给网站颁发证书之后,网站的每个访问者都会进行OCSP查询。因此OCSP装订(英语:OCSP Stapling),正式名称为TLS证书状态查询扩展,可代替在线证书状态协议(OCSP)来查询X.509证书的状态。服务器在TLS握手时发送事先缓存的OCSP响应,用户只需验证该响应的有效性而不用再向数字证书认证机构(CA)发送请求。
其实就是可以加速网站访问,尤其对于OCSP服务器遭受DNS污染(尤指之前Let's Encrypt证书服务器被污染),或者OCSP服务器在境外的网站。如题,这就是一个非常简单的小技巧,之前上百度上搜到的一些教程都太不管用了,所以就自己写了下。
其实很简单:
首先确认你的SSL证书链必须为完整证书链,你可以使用 https://myssl.com/ 进行检测,如果证书链不完整,也很简单,你需要在这个链接https://myssl.com/chain_download.html 对证书链进行修复。
打开宝塔的SSL证书页面,选择并复制所有的字符
接着再把RSA证书链中的所有字符复制到宝塔SSL证书(PEM格式)中即可
点击站点的配置文件
ssl_stapling on;
ssl_stapling_verify on;
ssl_trusted_certificate /path/to/fullchain.pem;
resolver 8.8.8.8 8.8.4.4 valid=600s;
设置完成后,可以解决 Let's Encrypt
OCSP 验证地址 http://ocsp.int-x3.letsencrypt.org 被 GFW 屏蔽造成的网站卡顿问题。
顺便,把 TLSv1.1 也删了,提高网站安全性:
ssl_protocols TLSv1.1 TLSv1.2 TLSv1.3;
改为
ssl_protocols TLSv1.2 TLSv1.3;
按下保存即可: 记着重启nginx
配置完成之后,你可以登录 https://myssl.com/ 进行检测,当你在协议详情中看到 OCSP 装订:支持,就大功告成了!!!
感觉有用就加一下,也不费事。
【转载亲测:宝塔面板在nginx环境下,开启OCSP装订(OCSP Stapling) - 玩个机吧 (wangejiba.com)】
推荐