参考资料

  1. CDN流量封顶配置详解
  2. 详细说明CDN:启用Web防火墙
  3. CDN允许所有来源域(*)的详细教程
  4. 如何配置缓存过期时间
  5. 预防 CDN 盗刷 阿里云操作方法
  6. HTTPS证书配置步骤
  7. 支持源站控制有效时间 设置教程
  8. 高防CDN-腾讯云EdgeOne

OCSP Stapling配置详解

OCSP Stapling配置详解

  1. 基本概念

  • OCSP: 在线证书状态协议

  • Stapling: 将OCSP响应"装订"到TLS握手过程

  • 作用: 减少客户端单独验证证书的时间

  1. 配置前提条件

  • 服务器证书必须包含OCSP响应URL

  • 服务器时间必须准确(NTP同步)

  • 支持OCSP Stapling的Web服务器(Nginx/Apache等)

  1. Nginx配置示例

ssl_stapling on;
ssl_stapling_verify on;
ssl_trusted_certificate /path/to/trusted_ca.crt;
resolver 8.8.8.8 valid=300s;

  1. Apache配置示例

SSLUseStapling on
SSLStaplingCache "shmcb:/tmp/stapling_cache(128000)"
SSLStaplingResponderTimeout 5
SSLStaplingReturnResponderErrors off

  1. 验证方法

openssl s_client -connect example.com:443 -status -tlsextdebug < /dev/null 2>&1 | grep "OCSP"

  1. 常见问题处理

  • 确保中间证书完整

  • 检查防火墙是否放行OCSP查询

  • 确认CA支持OCSP服务

  • 定期检查OCSP响应缓存

  1. 性能优化建议

  • 适当增大缓存大小

  • 调整更新频率

  • 监控OCSP响应时间

TAG:OCSP Stapling配置详解