推荐答案
ssl_stapling 指令用于启用或禁用 OCSP(Online Certificate Status Protocol)装订功能。OCSP 装订是一种优化技术,允许服务器在 TLS 握手期间直接向客户端提供证书状态信息,从而减少客户端需要单独查询 OCSP 服务器的时间,提高 TLS 握手的效率。
本题详细解读
什么是 OCSP 装订?
OCSP 装订是一种 TLS 扩展,允许服务器在握手过程中向客户端提供证书的吊销状态信息。通常情况下,客户端需要单独向 OCSP 服务器查询证书的状态,这可能会增加延迟。通过 OCSP 装订,服务器可以预先获取并缓存 OCSP 响应,并在 TLS 握手时将其发送给客户端,从而减少握手时间。
ssl_stapling 指令的作用
ssl_stapling 指令用于控制 Nginx 是否启用 OCSP 装订功能。启用后,Nginx 会尝试从证书颁发机构(CA)获取 OCSP 响应,并在 TLS 握手时将其发送给客户端。
配置示例
-- -------------------- ---- -------
------ -
------ --- ----
----------- ------------
--------------- -------------------------
------------------- ---------------------
------------ ---
------------------- ---
----------------------- -----------------------------
-------- ------- ------- -----------
---------------- ---
-相关指令
ssl_stapling_verify:用于启用或禁用 OCSP 响应的验证。启用后,Nginx 会验证 OCSP 响应的签名是否有效。ssl_trusted_certificate:指定用于验证 OCSP 响应的受信任的 CA 证书链。resolver:指定用于解析 OCSP 服务器地址的 DNS 解析器。
注意事项
- 启用
ssl_stapling需要确保 Nginx 能够访问 OCSP 服务器,并且证书颁发机构支持 OCSP。 - 如果 OCSP 服务器不可用或响应时间过长,可能会影响 TLS 握手的性能。
- 在某些情况下,可能需要配置
resolver指令以确保 Nginx 能够正确解析 OCSP 服务器的地址。