这里,我将介绍什么是 OCSP Stapling 以及为什么要开启它。
在线证书状态协议(Online Certificate Status Protocol),简称 OCSP,是一个用于获取 X.509 数字证书撤销状态的网际协议,在 RFC 6960 中定义。OCSP 用于检验证书合法性,查询服务一般由证书所属 CA 提供。OCSP 查询的本质,是一次完整的 HTTP 请求加响应的过程,这中间涵括的 DNS 查询、建立 TCP 连接、Web 端工作等步骤,都将耗费更多时间,使得建立 TLS 花费更多时长。
而这时,OCSP Stapling 出现了。经由 OCSP Stapling(OCSP 封套),Web 端将主动获取 OCSP 查询结果,并随证书一起发送给客户端,以此让客户端跳过自己去寻求验证的过程,提高 TLS 握手效率。
生成 OCSP Stapling 文件
经过以下步骤生成所需的用于 OCSP Stapling 验证的文件
首先,需要准备三份证书:
站点证书(website.pem)+ 根证书(root.pem)+ 中间证书(intermediate.pem)
中间证书和根证书,需要根据你的证书的 CA,去下载对应的证书
以下列出了 Lets Encrypt 的中间证书和根证书的下载地址:
根证书:
DST Root CA X3 https://ssl-tools.net/certificates/dac9024f54d8f6df94935fb1732638ca6ad77c13.pem ISRG Root X1 https://letsencrypt.org/certs/isrgrootx1.pem中间证书:
Lets Encrypt Authority X1 https://letsencrypt.org/certs/lets-encrypt-x1-cross-signed.pem Lets Encrypt Authority X2 https://letsencrypt.org/certs/lets-encrypt-x2-cross-signed.pem Lets Encrypt Authority X3 https://letsencrypt.org/certs/lets-encrypt-x3-cross-signed.pem Lets Encrypt Authority X4 https://letsencrypt.org/certs/lets-encrypt-x4-cross-signed.pem这里以 DST Root CA X3 根证书 + Lets Encrypt Authority X3 中间证书 为例(现在 Lets Encrypt 签发的证书基本都是这样的组合):
这样,生成的 chained.pem 就是所需的 OCSP Stapling 验证文件。
OCSP Stapling Response
使用这个命令后,返回你的证书对应的 OCSP 服务地址
例如,Lets Encrypt 现在的 OCSP 服务地址是 http://ocsp.int-x3.letsencrypt.org/
以 Lets Encrypt 为例,获取站点证书的 OCSP Response
若没有错误,会返回如下:
Response verify OK
website.pem: good
This Update: Oct 24 00:00:41 2017 GMT
Next Update: Oct 31 00:00:41 2017 GMTNginx 启用 OCSP Stapling
然后重启 Nginx,就成功启用 OCSP Stapling 了
OCSP Stapling Status
若站点已成功启用 OCSP Stapling,会返回以下
若返回这个,明显就是失败了
也可以访问 ssllabs 进行 SSL 测试,其中也能看到 OCSP Stapling 开启与否的报告。
以上就是本文的全部内容,希望对大家的学习有所帮助,也希望大家多多支持服务器之家。
原文链接:https://sometimesnaive.org/article/13
声明: 猿站网有关资源均来自网络搜集与网友提供,任何涉及商业盈利目的的均不得使用,否则产生的一切后果将由您自己承担! 本平台资源仅供个人学习交流、测试使用 所有内容请在下载后24小时内删除,制止非法恶意传播,不对任何下载或转载者造成的危害负任何法律责任!也请大家支持、购置正版! 。本站一律禁止以任何方式发布或转载任何违法的相关信息访客发现请向站长举报,会员发帖仅代表会员个人观点,并不代表本站赞同其观点和对其真实性负责。本网站的资源部分来源于网络,如有侵权烦请发送邮件至:2697268773@qq.com进行处理。