zd小达~
RUA!
zd小达's blog

「博客优化」使用宝塔面板在nginx环境开启OCSP装订,让你的网站更安全。

OCSP装订解决了在线证书协议中的大多数问题。CA给网站颁发证书之后,网站的每个访问者都会进行OCSP查询。因此OCSP装订(英语:OCSP Stapling),正式名称为TLS证书状态查询扩展,可代替在线证书状态协议(OCSP)来查询X.509证书的状态。服务器在TLS握手时发送事先缓存的OCSP响应,用户只需验证该响应的有效性而不用再向数字证书认证机构(CA)发送请求。

——来自维基百科

↑其实就是可以加速网站访问,尤其对于OCSP服务器遭受DNS污染(尤指之前Let's Encrypt证书服务器被污染),或者OCSP服务器在境外的网站

如题,这就是一个非常简单的小技巧,之前上百度上搜到的一些教程都太不管用了,所以就自己写了下。

其实很简单:

1.确认证书链

首先确认你的SSL证书链必须为完整证书链,你可以使用 https://myssl.com/ 进行检测,如果证书链不完整,也很简单,你需要在这个链接 https://myssl.com/chain_download.html 对证书链进行修复。

https://photo.zhangda.xyz/2021/07/20210729045744464.png?imageMogr2/format/webp/interlace/1/quality/100

打开宝塔的SSL证书页面,选择并复制所有的字符

https://photo.zhangda.xyz/2021/07/20210729050038870.png?imageMogr2/format/webp/interlace/1/quality/100

输入之后点击 获取证书链

https://photo.zhangda.xyz/2021/07/20210729050138961.png?imageMogr2/format/webp/interlace/1/quality/100

接着再把RSA证书链中的所有字符复制到宝塔SSL证书(PEM格式)中即可

2.修改配置文件

点击站点的配置文件

https://photo.zhangda.xyz/2021/07/20210729050416281.png?imageMogr2/format/webp/interlace/1/quality/100

在第15行(不同的nginx配置可能不同)#HTTP_TO_HTTPS_END 下面添加

https://photo.zhangda.xyz/2021/07/20210729050609330.png?imageMogr2/format/webp/interlace/1/quality/100
ssl_stapling on; 
ssl_stapling_verify on;

按下保存即可

3.检测

配置完成之后,你可以登录 https://myssl.com/ 进行检测,当你在协议详情中看到OCSP装订:支持,就大功告成了!!!

https://photo.zhangda.xyz/2021/07/20210729051050987.png?imageMogr2/format/webp/interlace/1/quality/100

# # #
首页      博客优化      「博客优化」使用宝塔面板在nginx环境开启OCSP装订,让你的网站更安全。

zd小达

文章作者

发表评论

textsms
account_circle
email

zd小达's blog

「博客优化」使用宝塔面板在nginx环境开启OCSP装订,让你的网站更安全。
OCSP装订解决了在线证书协议中的大多数问题。CA给网站颁发证书之后,网站的每个访问者都会进行OCSP查询。因此OCSP装订(英语:OCSP Stapling),正式名称为TLS证书状态查询扩展,可代替在…
扫描二维码继续阅读
2021-07-29