为 Nginx 配置开启 OCSP 装订

如果您还没有了解过OCSP装订的优势和为服务器开启OCSP装订的必要性,我们建议您在继续配置之前查看我们之前发布的文章:

开启OCSP装订,确保在不稳定网络环境下提供SSL加密服务。点此查看向导文章

在开始修改您的Nginx网站配置文件之前,您需要确保您的网站当前已经正确配置好了SSL证书,并且可以正常使用 https:// 协议访问。如果您还没有配置好SSL证书,您还可以参考我们已经发布的Nginx上SSL证书的安装文档,来安装您已经在TrustOcean申请的SSL证书到服务器。

为网站开启OCSP装订 需要您编辑下列代码并添加至您的Nginx网站配置文件的SSL证书配置内容之后,配置内容(例子):

# OCSP stapling
ssl_stapling on;
ssl_stapling_responder http://your-ocsp-server-name/;
ssl_stapling_verify on;

# verify chain of trust of OCSP response using Root CA and Intermediate certs
ssl_trusted_certificate /path/to/root_CA_cert_plus_intermediates.pem;

# replace with the IP address of your resolver
resolver 114.114.114.114;

替换 Responder 请替换 http://your-ocsp-server-name/ 为您实际使用证书的颁发机构的OCSP服务器地址。倘若您申请使用的是 Comodo或Sectigo证书,您应该将此行修改为:

ssl_stapling_responder http://ocsp.sectigo.com/

如果您使用的是 TrustOcean 颁发的SSL证书,那么您可以将此行修改为:

ssl_stapling_responder http://trustocean.ocsp.sectigo.com/

作为中国大陆OCSP访问优化,我们也暂时提供如下OCSP服务给 TrustOcean 证书(仅测试用):

ssl_stapling_responder http://ocsp.trustocean.com/

替换证书链 为了能够帮助客户端校验您的OCSP响应,您还需要将 /path/to/root_CA_cert_plus_intermediates.pem 替换为您证书的实际证书链。证书链根据证书类型和颁发机构发生变化。您可以查看您获得的证书压缩包,并找到您的证书链代码。上传至证书链代码至服务器,并修改此配置路径至您的证书链。

重载Nginx 为了使您的配置文件生效,您需要重载(reload)您的Nginx或在维护期间重启您的Nginx服务。

Related Posts