4006-555-883

小威开讲啦 | Nginx如何实现OCSPStapling

发布时间:2022-11-17 17:10:00
  OCSP(OnlineCertificateStatusProtocol,在线证书状态协议)是用来检验证书合法性的在线查询服务,一般由证书所属CA提供。

  在实际应用中,某些客户端会在TLS握手阶段进一步协商时,实时查询OCSP接口,并在获得结果前阻塞后续流程。OCSP查询本质是一次完整的HTTP请求—响应,这中间DNS查询、建立TCP、服务端处理等环节都可能耗费很长时间,导致最终建立TLS连接时间变得更长。

  而OCSPStapling,是指服务端主动获取OCSP查询结果并随着证书一起发送给客户端,从而让客户端跳过自己去验证的过程,提高TLS握手效率。

  那么,在我们常用的Nginx模式下,如何实现OCSPStaplin呢?小威将从四个方面为您讲述。

  一、要求

  Nginxversion1.3.7以上

  二、自动OCSPStapling

  1、在Nginx.conf添加如下到您的https配置下

  ssl_staplingon;

  ssl_stapling_verifyon;

  resolver8.8.8.88.8.4.4valid=300s;

  resolver_timeout5s;

  ssl_trusted_certificateca.pem;

  其中ca.pem为证书链中两张中级CA证书

  2、验证OCSPStapling状态

  openssls_client-connectlocalhost:443-tlsextdebug–status

  已开启

  OCSPresponse:

  OCSPResponseData:

  OCSPResponseStatus:successful(0x0)ResponseType:BasicOCSPResponse

  ……

  未开启

  OCSPresponse:noresponsesent

  三、手动OCSPStapling

  1、获取OCSP地址

  opensslx509-inserver.pem-noout-ocsp_uri

  或

  2、生成stapling.ocsp

  opensslocsp-CAfile root.pem-issuer ca.pem-cert server.pem-urlhttp://ss.symcd.com-text-respout./stapling.ocsp

  其中root.pem为两张中级CA证书和顶级根证书,ca.pem为两张中级CA证书,server.pem为服务器证书,顶级根证书请联系技术人员获取(下载连接:xx)。

  注:stapling.ocsp需每次在update到期之前更新

  3、在Nginx.conf添加如下内容到您的https配置下

  ssl_staplingon;

  ssl_stapling_verifyon;

  resolver8.8.8.88.8.4.4valid=300s;

  resolver_timeout5s;

  ssl_trusted_certificateca.crt;

  ssl_stapling_filestapling.ocsp;

  其中ca.pem中为两张中级CA证书。

  4、验证OCSPStapling状态

  openssls_client-connectlocalhost:443-tlsextdebug–status

  已开启

  OCSPresponse:

  OCSPResponseData:

  OCSPResponseStatus:successful(0x0)ResponseType:BasicOCSPResponse

  ……

  未开启

  OCSPresponse:noresponsesent

  四、启用OCSPStapling的条件

  在Nginx中配置ssl_staplingon并reload后,Nginx并不会马上获取OCSPResponse,它要等第一个请求过来,再发起异步OCSP请求,所以刚开始几个响应,很可能不带OCSPStapling。另外,有时候由于OCSP域名无法解析,或者服务器无法访问造成OCSPResponse获取失败,也会导致OCSPStapling无法生效。
最新发布
1
客户热点问题解答 | SSL证书能否保护企业网站三级域名?
2
未履行网络安全保护义务将面临行政处罚,全站HTTPS服务为网站加上“金钟罩”
3
申请SSL证书的流程
4
服务器证书有什么作用
5
SSL证书作用:安全、专业、 信任的象征
6
服务器SSL证书选择攻略:全面考虑多方因素
7
服务器SSL证书作用:保障安全
8
ssl站点证书申请
9
ssl证书认证方法
10
如何ssl申请证书
相关推荐
服务器SSL证书作用:保障安全
未履行网络安全保护义务将面临行政处罚,全站HTTPS服务为网站加上“金钟罩”
SSL证书作用:安全、专业、 信任的象征
申请SSL证书的流程
客户热点问题解答 | SSL证书能否保护企业网站三级域名?
服务器证书有什么作用
服务器SSL证书选择攻略:全面考虑多方因素