宝塔Nginx开启OCSP装订

一、简介

OCSP Stapling 功能是由CDN服务器查询OCSP（Online Certificate Status Protocol）信息，可以降低客户端验证请求延迟，减少等待查询结果的响应时间。 OCSP Stapling功能将查询OCSP信息的工作由CDN服务器完成。CDN通过低频次查询，将查询结果缓存到服务器中。当客户端向服务器发起TLS握手请求时，CDN服务器将证书的OCSP信息和证书链一起发送到客户端。这样可以避免客户端验证会产生的阻塞问题。由于OCSP信息是无法伪造的，因此这一过程不会产生额外的安全问题。

二、nginx开启OCSP装订

ssl_stapling on; #开启OCSP
ssl_stapling_verify on; #开启OCSP验证
resolver 8.8.8.8 8.8.4.4 223.5.5.5 valid=300s; #不加这个可能就会开启失败

一般情况，重启nginx, 到现在为止就成功结束了。

三、检测是否成功

可以用这个来测是否开启成功，把example.com换成你自己的域名。

openssl s_client -connect example.com:443 -servername example.com -status -tlsextdebug < /dev/null 2>&1 | grep -i "OCSP response"

1.成功返回的结果

2.失败返回的结果

四、解决无法开启OCSP的问题

方法一

改host文件，添加以下地址

23.205.154.146 ocsp.int-x3.letsencrypt.org

方法二

在nginx配置文件中添加如下

resolver 8.8.8.8 8.8.4.4 223.5.5.5 valid=300s;