在《什么是OCSP Stapling》文章中提及过OCSP Stapling是为了提高SSL协商的性能，同时保持访问者的隐私而生的。那么如何开启OCSP Stapling服务呢。本教程将介绍在Apache和Nginx服务器配置OCSP Stapling。

 

检查服务器版本

请在开始之前检查您的服务器版本。以下服务器版本才支持OCSP Stapling：

•  Apache HTTP服务器2.3.3版本及以上
• Nginx 1.3.7版本及以上

使用以下命名检查运行的服务器版本：

Apache：apache2 –v

Nginx：nginx -v

配置OCSP Stapling

在Apache服务器上配置OCSP Stapling

1. 修改站点SSL虚拟主机配置文件

添加以下命名到<VirtualHost></VirtualHost>行中，开启OCSP;

SSLUseStapling on

添加以下命名到<VirtualHost></VirtualHost>行外,

SSLStaplingCache shmcb:/tmp/stapling_cache(128000)

例如：

SSLStaplingCache shmcb:/tmp/stapling_cache(128000)

<VirtualHost *:443>

SSLEngine on

SSLProtocol all -SSLv3 -SSLv2

 

SSLCertificateFile /path/to/your_domain_name.crt

SSLCertificateKeyFile /path/to/your_private.key

SSLCertificateChainFile /path/to/DigiCertCA.crt

 

SSLUseStapling on

</VirtualHost>

2.  执行以下命令检查配置是否有误；

Apachectl –t

3. 重新加载Apache服务；

service apache2 reload

4. 配置完成，保存退出，重启Apache即可。

在Nginx服务器上配置OCSP Stapling

Nginx 启用 OCSP Stapling 前提也是要先部署 SSL证书，并可以正常访问。

1. 编辑站点SSL证书配置文件

添加以下命名到“server { }”行中。

ssl_stapling on;

ssl_stapling_verify on;

例如：

server

{

listen 443 ssl;

ssl_protocols TLSv1 TLSv1.1 TLSv1.2;

 

ssl_certificate /etc/ssl/bundle.crt;

ssl_certificate_key /etc/ssl/your_domain_name.key;

 

ssl_stapling on;

ssl_stapling_verify on;

}

2. 执行以下命令检查配置是否有误；

nginx –t

3. 配置完成，重启Nginx。

systemctl restart nginx

测试OCSP Stapling 是否成功开启

本文用两种方法测试OCSP Stapling 是否成功开启。

方法1：使用OpenSSL命令。

输入命令如下：

openssl.exe s_client -connect www.domainame.com:443 -status

将www.domainame.com替换成您的域名。

若站点已成功启用 OCSP Stapling，会返回提示中有：OCSP Response Status: successful (0x0)

若执行后，没有返回信息，则开启失败。

方法2：利用第三方网站域名检测

检测地址：https://myssl.com/ssl.html

输入域名，端口443，点击进行检测，在证书信息中，OCSP装订状态显示：支持，则表示成功开启。显示：不支持，则表示开启失败。

最后，如果您在配置中有任何疑问，欢迎咨询官方客服，我们将竭诚为您服务！

本文转载于https://www.racent.com/help/details/57