Nginx开启OCSP装订 (Let‘s Encrypt)

最新推荐文章于 2024-05-31 21:46:15 发布
最新推荐文章于 2024-05-31 21:46:15 发布
阅读量1.7k 收藏 2
点赞数
分类专栏: https 文章标签: OCSP https加速 ssl letsEncrypt nginx
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/huojiahui22/article/details/108832891
版权

一、简介

OCSP Stapling 功能是由CDN服务器查询OCSP(Online Certificate Status Protocol)信息,可以降低客户端验证请求延迟,减少等待查询结果的响应时间。

OCSP Stapling功能将查询OCSP信息的工作由CDN服务器完成。CDN通过低频次查询,将查询结果缓存到服务器中。当客户端向服务器发起TLS握手请求时,CDN服务器将证书的OCSP信息和证书链一起发送到客户端。这样可以避免客户端验证会产生的阻塞问题。由于OCSP信息是无法伪造的,因此这一过程不会产生额外的安全问题。

二、Nginx开启OCSP装订

以使用acme.sh申请的Let’s Encrypt证书为例,证书会存放在~/.acme.sh/example.com文件夹下,下面有这两个文件:

fullchain.cer
example.com.key

编辑Nginx配置文件

ssl_certificate /[用户名]/.acme.sh/example.com/fullchain.cer; #证书路径
ssl_certificate_key /[用户名]/.acme.sh/example.com/example.com.key; #私钥路径
ssl_stapling on; #开启OCSP
resolver 8.8.8.8 8.8.4.4 223.5.5.5 valid=300s; #不加这个可能就会开启失败
ssl_stapling_verify on; #开启OCSP验证
ssl_trusted_certificate /[用户名]/.acme.sh/xmgspace.me/fullchain.cer; #证书链路径

一般情况,重启nginx, 到现在为止就成功结束了。

三、检测是否成功

可以用这个来测是否开启成功,把example.com换成你自己的域名。

openssl s_client -connect example.com:443 -servername example.com -status -tlsextdebug < /dev/null 2>&1 | grep -i "OCSP response"

1.成功返回的结果
在这里插入图片描述
2.失败返回的结果
在这里插入图片描述
3.我遇到的情况

刚开始一直 OCSP response: no response sent

后来搜原因好像是 letsencrypt 的 OCSP 地址被污染了。

所以nginx配置文件中加了 resolver 8.8.8.8 8.8.4.4 223.5.5.5 valid=300s;

4.看这个解决的

一般开启 ssl_stapling 失败的原因

这个链接里 是大家解决的一些方法。

5.其他检测方法

https://myssl.com/
https://www.ssllabs.com/

酒窝写代码
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Nginx实战】Nginx开启OCSP stapling
李维山的博客
07-24 3081
1、首先科普一下什么是OCSP stapling: 2、Nginx开启OCSP stapling配置: server { listen 80; listen 443 ssl http2; server_name oyhdo.com index index.html index.php index.htm default.php default.htm default.html; root /www/wwwroot/oyhdo.com/publi...
nginx ocsp开启及测试。
IT从业者
11-27 1094
1.开启配置 ssl_stapling on; ssl_stapling_verify on; ssl_trusted_certificate cert/ymhcnet20190322.pem; 2.测试 测试方法1:最明显 linux执行: openssl s_client -connect ymhc.ymhcnet.com:443 -status 如果响应中有下面信息,表示启用成功 OCSP Response Data: OCS...
什么是OCSP装订?如何在Nginx中启用?
最新发布
长风破浪会有时的博客
05-31 290
OCSP装订就是一种高效的方法,它可以让客户端在与服务器建立连接时,同时获取到证书和证书的状态信息,从而减少了额外的网络延迟。OCSP是“在线证书状态协议”的缩写,它的作用是检查数字证书是否有效,就像我们查看食品是否过期一样。所以,OCSP装订就是把数字证书的状态信息附加到服务器的响应中,这样当客户端(比如我们的电脑)与服务器通信时,就可以更快地知道证书是否有效,而不需要再去单独查询。总的来说,OCSP装订是一种提高网络安全性的技术,它可以让客户端更高效地获取数字证书的状态信息。
nginx 开启ocsp
SmartCP Software
08-29 565
NGINX 1.3.7 以上版本   在SSL配置下面添加   ssl_stapling on; ssl_stapling_verify on; ssl_trusted_certificate ca-bundle.crt     开启OCSP stapling:ssl_stapling on;   允许服务器检查 OCSP:ssl_stapling_verify on;...
NGINX配置HTTPS OCSP完整过程
HalsonHe的专栏
07-13 4594
转:https://sillydong.com/mysa/myserver/https_openssl.html最近在调试https,买了一个godaddy的证书,ocsp配置一直不成功,参考了网上各种文档,从godaddy的存储库下载各种证书,尝试各种搜索结果均无果,后来申请了一个startssl的证书,简单配置了一下,从官网下在了根证书和中间证书合成了一下就可以用ocsp了,邮件给start...
Nginx 启用 OCSP Stapling的配置
01-10
这里,我将介绍什么是 OCSP Stapling 以及为什么要开启它。 在线证书状态协议(Online Certificate Status Protocol),简称 OCSP,是一个用于获取 X.509 数字证书撤销状态的网际协议,在 RFC 6960 中定义。OCSP ...
HttpsLet's Encrypt
01-02
Let's Encrypt作为一个公共且免费SSL的项目逐渐被广大用户传播和使用,是由Mozilla、Cisco、Akamai、IdenTrust、EFF等组织人员发起,主要的目的也是为了推进网站从HTTP向HTTPS过度的进程,目前已经有越来越多的商家...
github精选:Let's Encrypt + nginx 配置https
03-29
鉴于小程序的外接API服务器必须基于https协议, 这... 目前一切OK,在此梳理梳理下基本流程。 ...sudo chmod a+x certbot-auto sudo mv certbot-auto /usr/local/bin/ // 移动到这个目录方便全局调用 sudo certbot-auto [o
Let's Encrypt官网一键式免费申请ssl证书脚本
08-30
Let's Encrypt官网一键式免费申请ssl证书脚本, 使用方法是放到linux环境下, 给出执行权限rwx即可 chmod -R 700 certbot-auto , 之后./certbot-auto执行, 过程中会让你选择apache(1)还是nginx(2), 之后还会让你输入...
nginx优化httpsocsp
无风的雨
06-18 2214
当用户使用客户端或其他的设备访问https网站时,需要先验证https证书,验证方式有两种: 1.证书颁发机构(ca)的证书吊销列表(CRL),CRL列出被认为不能再使用的证书的序列号。客户端通过访问CRL来验证网站证书是否有效。 2.在线证书状态协议(ocsp),其OCSP查询地址是http://ocsp.int-x3.letsencrypt.org/,浏览器需要发送请求到这个地址来验证证书状态。 在线证书状态协议(OCSP)克服了证书注销列表(CRL)的主要缺陷:必须经常在客户端下载以确保列表的更新。当
如何在 Apache 和 Nginx配置 OCSP Stapling
rubys007的博客
04-22 1463
OCSP stapling 是一个旨在提高 SSL 协商性能并保持访问者隐私的 TLS/SSL 扩展。在继续配置之前,先简要介绍一下证书吊销的工作原理。本文将使用 StartSSL 颁发的免费证书进行演示。如何在 Ubuntu 12.04 上使用 Apache 设置多个 SSL 证书如何在 Ubuntu 12.04 上使用 Nginx 设置多个 SSL 证书。
NginxOCSP stapling配置
weixin_34150503的博客
03-23 620
摘要: 正确地配置OCSP stapling, 可以提高HTTPS性能。 什么是OCSP stapling? OCSP的全称是Online Certificate Status Protocol,即在线证书状态协议。顾名思义,它是一个用于检查证书状态的协议,浏览器使用这个协议来检查证书是否被撤销。使用Chrome浏览器查看www.fundebug.com的证书详情,可以看到OCSP的查询地址:...
得物技术网络优化-CDN资源请求优化实践
SmartCodeTech的博客
04-20 1732
1.前言 为用户提供更加流畅的App使用体验是我们的目标。作为电商类App,社区+交易相关业务强依赖图片、视频、文件等静态资源。由于这些静态资源部署在CDN上,因此本文统称为“CDN资源”。 虽然部署到CDN服务后提升了CDN资源的请求性能,但只能算是初始阶段,App端依然存在资源加载慢、卡顿等体验问题,离预期还有一定距离,需要进一步优化。因此,2021年下半年我们对CDN资源的网络请求性能进行了重点优化,取得了明显的效果,本文在此进行一个阶段性总结。 2.内容介绍 本文主要介绍得物CDN资源请求实
Let's Encrypt 申请HTTPS证书流程
asusk42jc的专栏
07-15 4865
准备工作: 域名 可供解析的服务器(或使用ngrok将需要生成证书的域名映射到具体的http服务器地址) 申请官网地址:Let’s Encrypt、Certbot 流程 打开Certbot网址,选择使用服务器与操作系统,如下: 使用如上命令在对应服务器安装好certbot后,使用:sudo certbot certonly命令安装,certbot (实际上是 certbot-au...
Nginx OCSP
weixin_30505225的博客
05-20 342
Nginx OCSP #开启 vim /path/to/path/conf/nginx.conf ..... events{   ...... 省略..... } http {   ..... server{   listen 443...
两种方式免费部署HTTPS
03-30 745
前言 HTTPS(全称:Hyper Text Transfer Protocol over Secure Socket Layer 或 Hypertext Transfer Protocol Secure,超文本传输安全协议),是以安全为目标的HTTP通道,简单讲是HTTP的安全版。即HTTP下加入SSL层,HTTPS的安全基础是SSL,因此加密的详细内容就需要SSL。 它是一个URI schem...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值