OCSP装订解决了在线证书协议中的大多数问题。CA给网站颁发证书之后,网站的每个访问者都会进行OCSP查询。因此OCSP装订(英语:OCSP Stapling),正式名称为TLS证书状态查询扩展,可代替在线证书状态协议(OCSP)来查询X.509证书的状态。服务器在TLS握手时发送事先缓存的OCSP响应,用户只需验证该响应的有效性而不用再向数字证书认证机构(CA)发送请求。
——来自维基百科
↑其实就是可以加速网站访问,尤其对于OCSP服务器遭受DNS污染(尤指之前Let's Encrypt证书服务器被污染),或者OCSP服务器在境外的网站
如题,这就是一个非常简单的小技巧,之前上百度上搜到的一些教程都太不管用了,所以就自己写了下。
其实很简单:
1.确认证书链
首先确认你的SSL证书链必须为完整证书链,你可以使用 https://myssl.com/ 进行检测,如果证书链不完整,也很简单,你需要在这个链接 https://myssl.com/chain_download.html 对证书链进行修复。
打开宝塔的SSL证书页面,选择并复制所有的字符
输入之后点击 获取证书链
接着再把RSA证书链中的所有字符复制到宝塔SSL证书(PEM格式)中即可
2.修改配置文件
点击站点的配置文件
在第15行(不同的nginx配置可能不同)#HTTP_TO_HTTPS_END 下面添加
ssl_stapling on;
ssl_stapling_verify on;
按下保存即可
3.检测
配置完成之后,你可以登录 https://myssl.com/ 进行检测,当你在协议详情中看到OCSP装订:支持,就大功告成了!!!
来自马来西亚
发表回复