更新时间:2024-08-27 GMT+08:00

配置OCSP Stapling

开启OCSP Stapling功能,CDN可以预先查询并缓存在线证书验证结果,在与浏览器进行TLS连接时返回给浏览器,浏览器无需再次前往CA站点查询,从而减少用户验证时间。

工作原理

OCSP(Online Certificate Status Protocol,在线证书状态协议),是由数字证书颁发机构CA(Certificate Authority)提供,客户端通过OCSP可实时验证证书的合法性和有效性。

  • 未开启OCSP Stapling时,网站的每个访问者都会进行OCSP查询,这会影响浏览器打开页面的速度,同时,高并发的请求会给CA的服务器带来很大的压力。
  • 开启OCSP Stapling后,CDN可以预先查询并缓存在线证书验证结果,用户只需验证该响应的有效性而不用再向数字证书认证机构(CA)发送请求,提高TLS握手效率,减少用户验证时间。

配置约束

  • 已成功配置HTTPS国际证书,详见配置HTTPS证书
    • 开启OCSP Stapling后,如果您关闭了HTTPS证书,OCSP Stapling功能也会自动关闭。
    • 配置HTTPS证书后,需要等证书配置完成(约5分钟)后才能开启OCSP Stapling功能。
  • 如果您将“国际证书”切换为“国密证书”,OCSP Stapling功能也会失效。
  • 如果您配置了双证书,OCSP Stapling功能仅对国际证书生效。

配置步骤

  1. 登录华为云控制台,在控制台首页中选择“ CDN与智能边缘 > 内容分发网络 CDN”,进入CDN控制台。
  2. 在左侧菜单栏中,选择域名管理
  3. 在域名列表中,单击需要修改的域名或域名所在行的“设置”,进入域名配置页面。
  4. 选择“HTTPS配置”页签。
    图1 OCSP Stapling配置

    默认关闭“OCSP Stapling”配置。

  5. 打开“OCSP Stapling”开关,完成配置。