启用 OCSP Stapling(OCSP装订)

于 2024-07-15 17:23:58 发布
阅读量730 收藏 8
点赞数 6
文章标签: ssl
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_42378246/article/details/140444414
版权

启用 OCSP Stapling 可以提高 HTTPS 连接的性能和安全性:

1. `ssl_stapling on;`:启用 OCSP Stapling。服务器会缓存并提供证书的 OCSP 响应,而不是让每个客户端单独请求证书颁发机构。
2. `ssl_stapling_verify on;`:启用 OCSP Stapling 响应的验证,确保服务器提供的 OCSP 响应是有效的。

这样可以减少客户端的请求次数,加快连接速度,同时提高证书状态检查的安全性。

以下配置方法仅供参考,请根据自己的实际情况配置。

一、Nginx

在 Nginx 中开启 OCSP Stapling,可以按照以下步骤操作:

1. 确保 Nginx 已编译并支持 OCSP Stapling。通常现代版本的 Nginx 都支持。

2. 在你的 Nginx 配置文件中(通常是 `/etc/nginx/nginx.conf` 或 `/etc/nginx/conf.d/your_site.conf`),找到你的 `server` 块。

3. 在 `server` 块中添加以下配置:
server {
    listen 443 ssl;
    server_name your_domain.com;

    ssl_certificate /path/to/your_certificate.crt;
    ssl_certificate_key /path/to/your_certificate_key.key;
    ssl_trusted_certificate /path/to/your_trusted_certificate_chain.crt;

    ssl_stapling on;
    ssl_stapling_verify on;

    resolver 8.8.8.8 8.8.4.4 valid=300s;
    resolver_timeout 5s;

    # 其他配置
}

其中:
- `ssl_certificate` 指向你的 SSL 证书文件。
- `ssl_certificate_key` 指向你的 SSL 证书密钥文件。
- `ssl_trusted_certificate` 指向你的完整证书链文件(包括根证书和中间证书)。
- `resolver` 和 `resolver_timeout` 用于指定 DNS 解析器,帮助验证 OCSP 响应。

4. 保存配置文件,然后重新加载 Nginx 配置:
sudo nginx -s reload

这样就启用了 OCSP Stapling。

二、Apache

在 Apache 中开启 OCSP Stapling,可以按照以下步骤操作:

1. 确保 Apache 已编译并支持 OCSP Stapling。通常现代版本的 Apache 都支持。

2. 打开你的 Apache 配置文件(通常是 `/etc/httpd/conf/httpd.conf` 或 `/etc/apache2/sites-available/your_site.conf`)。

3. 在你的虚拟主机配置中添加以下指令:
<VirtualHost *:443>
    ServerName your_domain.com

    SSLEngine on
    SSLCertificateFile /path/to/your_certificate.crt
    SSLCertificateKeyFile /path/to/your_certificate_key.key
    SSLCertificateChainFile /path/to/your_certificate_chain.crt

    SSLUseStapling on
    SSLStaplingResponderTimeout 5
    SSLStaplingReturnResponderErrors off
    SSLStaplingCache "shmcb:/var/run/ocsp(128000)"

    # 其他配置
</VirtualHost>

其中:
- `SSLCertificateFile` 指向你的 SSL 证书文件。
- `SSLCertificateKeyFile` 指向你的 SSL 证书密钥文件。
- `SSLCertificateChainFile` 指向你的完整证书链文件(包括根证书和中间证书)。
- `SSLUseStapling` 启用 OCSP Stapling。
- `SSLStaplingResponderTimeout` 设置 OCSP 响应的超时时间。
- `SSLStaplingReturnResponderErrors` 设置是否返回 OCSP 响应错误。
- `SSLStaplingCache` 设置 OCSP Stapling 的缓存位置和大小。

4. 保存配置文件,然后重新加载 Apache 配置:
sudo systemctl reload apache2


sudo systemctl reload httpd

这样就启用了 OCSP Stapling。

三、IIS

在 IIS 中启用 OCSP Stapling 可以通过以下步骤完成:

1. 打开 **IIS 管理器**。
2. 在左侧连接窗口中选择你的服务器名称。
3. 在中间的功能视图中,双击 **“SSL 设置”**。
4. 在右侧操作窗口中,点击 **“高级设置”**。
5. 在弹出的对话框中,找到 **“启用 OCSP Stapling”** 选项并将其设置为 **“True”**。
6. 点击 **“确定”** 保存设置。

完成以上步骤后,OCSP Stapling 就会在 IIS 上启用。

惠签SSL(sctgo.com)为大家提供特惠的Sectigo证书,支持rsa、ecc算法在线签发欢迎选购。

有梦就去读书
关注
  • 6
    点赞
  • 8
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
Nginx实战】Nginx开启OCSP stapling
李维山的博客
07-24 3092
1、首先科普一下什么是OCSP stapling: 2、Nginx开启OCSP stapling配置: server { listen 80; listen 443 ssl http2; server_name oyhdo.com index index.html index.php index.htm default.php default.htm default.html; root /www/wwwroot/oyhdo.com/publi...
Nginx开启OCSP Stapling
weixin_33748818的博客
02-21 1429
2019独角兽企业重金招聘Python工程师标准>>> ...
如何在 Apache 和 Nginx 上配置 OCSP Stapling
rubys007的博客
04-22 1512
OCSP stapling 是一个旨在提高 SSL 协商性能并保持访问者隐私的 TLS/SSL 扩展。在继续配置之前,先简要介绍一下证书吊销的工作原理。本文将使用 StartSSL 颁发的免费证书进行演示。如何在 Ubuntu 12.04 上使用 Apache 设置多个 SSL 证书如何在 Ubuntu 12.04 上使用 Nginx 设置多个 SSL 证书
Nginx https性能优化
zzhongcy的专栏
09-18 1万+
1、影响HTTPS速度的主要原因: 众周所知网站启用https后,会加剧服务器的负担。传统的http使用TCP三次握手建立连接,而SSL和TLS在这个基础上还需要9个握手包,所以这个负担显而易见。 1.1 密钥交换算法 常见的密钥交换算法有RSA,ECDHE,DH,DHE等算法。它们的特性如下: RSA:算法实现简单,诞生于 1977 年,历史悠久,经过了长时间的破解测试,...
高性能浏览器网络(High Performance Browser Networking) 第四章
人生若只如初见
09-23 1万+
第4章 传输层安全(TLS) SSL协议最初是在Netscape浏览器中应用,用来保证通过Web进行电子商务交易的安全性,电子商务的安全性要求采用加密技术来保护客户的个人资料,以及认证用户,保证数据完整性,以确保交易安全。为了实现这一目标,SSL协议在应用层实现,直接在TCP层之上( 图4-1 ),使得在它上面的协议(HTTP,电子邮件,即时通讯,和许多其他应用)在网络操通信时,操作不变,同时
Nginx 启用 OCSP Stapling的配置
09-30
4. 配置Nginx:在Nginx的配置文件中启用OCSP Stapling,这通常需要修改server块的相关配置项,如ssl_stapling、ssl_stapling_verify、ssl_trusted_certificate等。 5. 重启Nginx服务:对配置文件进行修改后,需要...
haproxy-ocsp-stapling-updater:HAProxy OCSP装订更新器
05-22
HAProxy OCSP装订更新器 该脚本提取并查询证书中存在的OCSP服务器以获得其吊销状态,然后通过写入'.issuer'和'.ocsp'文件并通过本地UNIX发送set ssl ocsp-response命令来更新HAProxy。管理员套接字。 用法 hapos-...
v3_ocsp.rar_ocsp
09-24
同时,OCSP Stapling是OCSP的一个优化,其中服务器在最初提供证书时一并提供预先签名的OCSP响应,减少了客户端进行网络查询的时间和潜在的隐私问题。这一特性在现代服务器配置中非常常见,提高了性能和用户体验。 ...
ocsp.rar_java web ocsp_ocsp
09-20
Examples showing the use of Certificate Revocation Lists (CRLs) and Online Certificate Status Protocol (OCSP).
Nginx启动SSL功能,并进行功能优化详细介绍
01-10
Nginx启动SSL功能,并进行功能优化,你看这个就足够了 一:开始NginxSSL模块 1.1 Nginx如果未开启SSL模块,配置Https时提示错误 nginx: [emerg] the ssl parameter requires ngx_http_ssl_module in /usr/local/nginx/conf/nginx.conf:37 原因也很简单,nginx缺少http_ssl_module模块,编译安装的时候带上–with-http_ssl_module配置就行了,但是现在的情况是我的nginx已经安装过了,怎么添加模块,其实也很简单,往下看: 做个说明:我
Lab 2 循序渐进配置Windows Server 2012 AD CS(颁发机构&联机响应篇)
weixin_33720452的博客
03-19 481
安全往往是企业管理的重中之重,我们的Boss希望我们的网站是加密的,邮件是加密的,文档是加密的,而且绝大多数的微软服务器产品都是需要公有的或者自建证书,而AD CS可以为我们提供颁发和管理在采用软件安全系统中使用的公钥证书证书服务这玩意我们也不可能天天和他打交道,配置好了之后,很长一段时间我们都不用管它。但是万事开头难,如何迈出这第一步,我相信最有效的方法就是做一次实验,...
数字证书的相关专业名词(下)---OCSP及其java中的应用
学习不止境的博客
04-13 3259
该篇文章讲述如何获取OCSP地址以及通过OCSP地址获取OCSP响应结果
NginxOCSP stapling配置
weixin_34150503的博客
03-23 628
摘要: 正确地配置OCSP stapling, 可以提高HTTPS性能。 什么是OCSP stapling? OCSP的全称是Online Certificate Status Protocol,即在线证书状态协议。顾名思义,它是一个用于检查证书状态的协议,浏览器使用这个协议来检查证书是否被撤销。使用Chrome浏览器查看www.fundebug.com的证书详情,可以看到OCSP的查询地址:...
阿里云 CDN HTTPS 最佳实践——OCSP Stapling
weixin_34148340的博客
11-13 555
背景 下图是互联网 PKI 证书的生命周期: 对于一个可信任的 CA 机构颁发的有效证书,在证书到期之前,只要 CA 没有把其吊销,那么这个证书就是有效可信任的。有时,由于某些特殊原因(比如私钥泄漏,证书信息有误,CA 有漏洞被黑客利用,颁发了其他域名的证书等等),需要吊销某些证书。那浏览器或者客户端如何知道当前使用的证书已经被吊销了呢,通常有两种方式...
nginx ssl模块使用详解
热门推荐
huzilinitachi的专栏
05-03 1万+
        nginx 针对https提供ssl/tls配置功能的支持,这些功能由openssl库提供,除了原生的nginx模块能对https提供支持之外,openresty也同样在nginx原生的基础上 提供了lua脚本层面对https进行配置与处理的功能。        nginx openssl模块在ngx_http_ssl_module实现,实际与openssl进行交互的模块还是在ng...
Nginx使用SSL加密,配置文件各个参数的含义
thj_blog
07-07 4592
常见参数 ssl_certificate证书其实是个公钥,它会被发送到连接服务器的每个客户端 ssl_certificate_key私钥是用来解密的,所以它的权限要得到保护但nginx的主进程能够读取。 ssl_session_timeout : 客户端可以重用会话缓存中ssl参数的过期时间,内网系统默认5分钟太短了,可以设成30m即30分钟甚至4h。 sl_session_cache shared:SSL:10m; : 设置ssl/tls会话缓存的类型和大小。 ...
高性能 Nginx HTTPS 调优 - 如何为 HTTPS 提速 30%
云原生实验室
12-29 1229
更多奇技淫巧欢迎订阅博客:https://fuckcloudnative.io前言为什么要优化 Ngin HTTPS 延迟Nginx 常作为最常见的服务器,常被用作负载均衡 (Load ...
ocsp python
最新发布
08-09
OCSP (Online Certificate Status Protocol) 是一种用于在线验证数字证书状态的协议,通常与 SSL/TLS 配合使用,确保服务器的身份真实可信。在 Python 中,你可以使用 OpenSSL 库来处理 OCSP 查询。 Python 的 OpenSSL 模块提供了一个名为 `ssl` 的内置模块,它包含了对 OCSP 的支持。如果你想检查一个证书是否有效,可以按照以下步骤: 1. 导入必要的库: ```python import ssl ``` 2. 创建一个上下文并开启 OCSP 支持: ```python context = ssl.create_default_context(ssl.Purpose.CLIENT_AUTH) context.check_hostname = False # 关闭主机名验证,仅用于演示 context.verify_mode = ssl.CERT_REQUIRED | ssl.OP_NO_TLSv1_2 | ssl.OP_NO_TLSv1 | ssl.OP_NO_SSLv2 ``` 3. 加载证书: ```python certfile = 'path/to/cert.pem' with open(certfile, 'rb') as f: cert = ssl.PEM_cert_to_DER_cert(f.read()) ``` 4. 发送 OCSP 请求并解析响应: ```python ocsp_req = ssl._create_OCSPRequest(cert) ocsp_res = context.get_ocsp_response(cert) if ocsp_res is not None: response_status = ocsp_res.status if response_status == ssl.OCSP_RESPONSE_STATUS_SUCCESSFUL: print('Certificate is valid') else: print('Certificate has an issue') else: print('No OCSP response received') ```
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值