配置OCSP Stapling
开启OCSP Stapling功能,CDN可以预先查询并缓存在线证书验证结果,在与浏览器进行TLS连接时返回给浏览器,浏览器无需再次前往CA站点查询,从而减少用户验证时间。
工作原理
OCSP(Online Certificate Status Protocol,在线证书状态协议),是由数字证书颁发机构CA(Certificate Authority)提供,客户端通过OCSP可实时验证证书的合法性和有效性。
- 未开启OCSP Stapling时,网站的每个访问者都会进行OCSP查询,这会影响浏览器打开页面的速度,同时,高并发的请求会给CA的服务器带来很大的压力。
- 开启OCSP Stapling后,CDN可以预先查询并缓存在线证书验证结果,用户只需验证该响应的有效性而不用再向数字证书认证机构(CA)发送请求,提高TLS握手效率,减少用户验证时间。
配置约束
- 已成功配置HTTPS国际证书,详见配置HTTPS证书。
- 开启OCSP Stapling后,如果您关闭了HTTPS证书,OCSP Stapling功能也会自动关闭。
- 配置HTTPS证书后,需要等证书配置完成(约5分钟)后才能开启OCSP Stapling功能。
- 如果您将“国际证书”切换为“国密证书”,OCSP Stapling功能也会失效。
- 如果您配置了双证书,OCSP Stapling功能仅对国际证书生效。
配置步骤
- 登录华为云控制台,在控制台首页中选择“ CDN与智能边缘 > 内容分发网络 CDN”,进入CDN控制台。
- 在左侧菜单栏中,选择 。
- 在域名列表中,单击需要修改的域名或域名所在行的“设置”,进入域名配置页面。
- 选择“HTTPS配置”页签。
图1 OCSP Stapling配置
默认关闭“OCSP Stapling”配置。
- 打开“OCSP Stapling”开关,完成配置。