OCSP Stapling

工作原理

OCSP（Online Certificate Status Protocol，在线证书状态协议），是由数字证书颁发机构CA（Certificate Authority）提供，客户端通过OCSP可实时验证证书的合法性和有效性。

• 未开启OCSP Stapling时，网站的每个访问者都会进行OCSP查询，这会影响浏览器打开页面的速度，同时，高并发的请求会给CA的服务器带来很大的压力。
• 开启OCSP Stapling后，CDN可以预先查询并缓存在线证书验证结果，用户只需验证该响应的有效性而不用再向数字证书认证机构（CA）发送请求，提高TLS握手效率，减少用户验证时间。

配置约束

• 已成功配置HTTPS国际证书，详见HTTPS配置。
  • 开启OCSP Stapling后，如果您关闭了HTTPS证书，OCSP Stapling功能也会自动关闭。
  • 配置HTTPS证书后，需要等证书配置完成（约5分钟）后才能开启OCSP Stapling功能。
• 全站加速、加速范围包含“中国大陆境外”的域名，暂不支持配置OCSP Stapling功能。
• 如果您将“国际证书”切换为“国密证书”，OCSP Stapling功能也会失效。
• 如果您配置了双证书，OCSP Stapling功能仅对国际证书生效。

配置步骤

1. 登录华为云控制台，在控制台首页中选择“ CDN与智能边缘 > 内容分发网络 CDN”，进入CDN控制台。
2. 在左侧菜单栏中，选择“域名管理”。
3. 在域名列表中，单击需要修改的域名或域名所在行的“设置”，进入域名配置页面。
4. 选择“HTTPS配置”页签。
   图1 OCSP Stapling配置
   
   

   默认关闭“OCSP Stapling”配置。

5. 打开“OCSP Stapling”开关，完成配置。