如何在Apache中設置OCSP釘書釘以獲得更好的SSL性能？

要啟用Apache中的OCSP釘書，請確保您符合先決條件並配置必要的指令。首先，確認您使用apache 2.4.1或使用mod_ssl啟用，openssl 0.9.8h或更新，並安裝了有效的SSL證書。接下來，通過添加：sslengine on，sslusestapling和sslstaplingcache“ shmcb：/var/run/run/ocsp（128000）”來編輯Apache SSL SSL虛擬主機配置塊。另外，正確設置SSLCertificateFile，SSLCertificateKeyFile和SslCertificateChainFile指向您的證書文件。可選地，在需要時調整SslStaplingResponderTimeOut，SSLStaplingResponseTimesKew或SslStaplingStandArdCacheWhileMgMT，以便在需要時進行微調。最後，使用SSL Labs的SSL測試或OPENSL S_CLIENT命令重新啟動Apache並測試您的配置，以驗證OCSP固定功能正在工作。

OCSP主食不僅是一個精美的SSL功能，而且是加快HTTPS連接並減少對外部OCSP服務器的依賴的實用方法。通過在Apache中啟用它，您可以將證書狀態檢查從客戶端卸載到您自己的服務器，從而使握手更快，更私密。

確保您有正確的設置

潛入配置之前，請仔細檢查您的環境：

• Apache版本：至少2.4.1（最好是更新）
• 必須啟用mod_ssl
• OpenSSL 0.9.8h或更新（用於OCSP支持）
• 安裝有效的SSL證書和中間CA鏈

您還需要訪問apache配置文件 - 通常在/etc/httpd/conf.d/ssl.conf或/etc/apache2/sites-available/default-ssl.conf中找到，具體取決於您的OS/Distribution。

如果您使用的是讓我們加密，那麼好消息：它們的證書與OCSP固定開箱即用。

啟用Apache中的OCSP釘

要打開OCSP訂書機，請編輯Apache SSL虛擬主機配置塊。這是您需要添加的內容：

 Sslengine On
sslusestappling
sslstaplingcache“ shmcb：/var/run/ocsp（128000）”

SSLStaplingCache系列為OCSP響應設置了共享內存緩存。括號中的數字是字節中的大小-128KB通常足以容納大多數站點。如果您運行具有許多不同證書的高流量站點，則可能需要提高此價值。

另外，請確保正確配置您的SSL證書和鏈條：

 sslcertificatefile“/path/to/cert.pem”
sslcertificateKeyfile“/path/to/privkey.pem”
sslcertificatechainfile“/path/to/chain.pem”

如果沒有完整的鏈條，OCSP釘子可能無法可靠地工作。

微調可選設置（如果需要）

默認情況下，Apache會自動處理OCSP獲取。但是，如果您想要更多的控制權，這裡有一些可選設置：

• SSLStaplingResponderTimeout ：Apache等待OCSP響應器多長時間（默認3秒）
• SSLStaplingResponseTimeSkew ：響應時間戳的偏斜公差（默認為300秒）
• SSLStaplingStandardCacheWhileMgmt ：是否使用標準緩存規則（默認情況下）

例如，如果您的CA的OCSP服務器慢，則可以調整超時：

 sslstaplingrespondertimeout 5

但是，除非您解決問題或有特定需求，否則堅持默認值是可以的。

測試它正在工作

重新啟動Apache（ sudo apachectl graceful ）後，測試您的設置：

• 使用SSL Labs的SSL測試- 尋找“ OCSP訂書：是”
• 或從另一台計算機運行此openssl命令：

 openssl s_client -connect yoursite.com：443 -servername yoursite.com -Status

在輸出中查找OCSP response部分。如果在那裡，那你很好。

請記住，瀏覽器和客戶不會顯示出任何明顯的更改，但是Chrome DevTools（例如Chrome DevTools）的性能工具可能會反映出TLS談判時間較短。

基本上就是這樣。一旦您知道要使用哪些指令，就不會太難了，並且絕對值得以提高SSL性能。

以上是如何在Apache中設置OCSP釘書釘以獲得更好的SSL性能？的詳細內容。更多資訊請關注PHP中文網其他相關文章！