锐成信息 · 在线帮助文档

如何在Apache和Nginx开启 OCSP Stapling

更新时间: 2020-11-24 09:30:24

在《什么是OCSP Stapling》文章中提及过OCSP Stapling是为了提高SSL协商的性能,同时保持访问者的隐私而生的。那么如何开启OCSP Stapling服务呢。本教程将介绍在ApacheNginx服务器配置OCSP Stapling

如何开启OCSP Stapling.png

检查服务器版本

请在开始之前检查您的服务器版本。以下服务器版本才支持OCSP Stapling

l  Apache HTTP服务器2.3.3版本及以上

l  Nginx 1.3.7版本及以上

使用以下命名检查运行的服务器版本:

Apacheapache2 –v

Nginxnginx -v

配置OCSP Stapling

Apache服务器上配置OCSP Stapling

1.     修改站点SSL虚拟主机配置文件

添加以下命名到<VirtualHost></VirtualHost>行中,开启OCSP;

SSLUseStapling on

添加以下命名到<VirtualHost></VirtualHost>行外,

SSLStaplingCache shmcb:/tmp/stapling_cache(128000)

例如:

SSLStaplingCache shmcb:/tmp/stapling_cache(128000)

<VirtualHost *:443>

SSLEngine on

SSLProtocol all -SSLv3 -SSLv2

 

SSLCertificateFile /path/to/your_domain_name.crt

SSLCertificateKeyFile /path/to/your_private.key

SSLCertificateChainFile /path/to/DigiCertCA.crt

 

SSLUseStapling on

</VirtualHost>

2.    执行以下命令检查配置是否有误;

Apachectl –t

3.  重新加载Apache服务;

     service apache2 reload

4.  配置完成,保存退出,重启Apache即可。


Nginx服务器上配置OCSP Stapling

Nginx 启用 OCSP Stapling 前提也是要先部署 SSL证书,并可以正常访问。

1.     编辑站点SSL证书配置文件

添加以下命名到“server { }”行中。

ssl_stapling on;

ssl_stapling_verify on;

例如:

server

{

listen 443 ssl;

ssl_protocols TLSv1 TLSv1.1 TLSv1.2;

 

ssl_certificate /etc/ssl/bundle.crt;

ssl_certificate_key /etc/ssl/your_domain_name.key;

 

ssl_stapling on;

ssl_stapling_verify on;

}


2.   执行以下命令检查配置是否有误;

      nginx –t

3.    配置完成,重启Nginx。

       systemctl restart nginx

测试OCSP Stapling 是否成功开启

本文用两种方法测试OCSP Stapling 是否成功开启。

方法1:使用OpenSSL命令。

输入命令如下:

openssl.exe s_client -connect www.domainame.com:443 -status

www.domainame.com替换成您的域名。

若站点已成功启用 OCSP Stapling,会返回提示中有:OCSP Response Status: successful (0x0)

若执行后,没有返回信息,则开启失败。

方法2:利用第三方网站域名检测

检测地址:https://myssl.com/ssl.html

输入域名,端口443,点击进行检测,在证书信息中,OCSP装订状态显示:支持,则表示成功开启。显示:不支持,则表示开启失败。

最后,如果您在配置中有任何疑问,欢迎咨询官方客服,我们将竭诚为您服务!


锐成信息,欢迎您的到来

需要更多的了解以上产品和解决方案,请立即联系我们技术支持团队和业务专家,他们将给您带来专业的建议!

售前
支持
代理
合作
售后
支持