OCSP Stapling 是一种优化 SSL/TLS 握手过程的方法,它可以减少客户端与证书颁发机构(CA)之间的通信次数,从而提高性能和安全性。以下是为 Debian 系统上的 Nginx 配置 OCSP Stapling 的步骤:
首先,确保你的系统上安装了 nginx 和 certbot(用于获取和管理 SSL 证书)。
sudo apt update
sudo apt install nginx certbot python3-certbot-nginx
使用 certbot 获取 SSL 证书。假设你要为 example.com 获取证书:
sudo certbot --nginx -d example.com -d www.example.com
按照提示完成证书的获取和配置。
编辑 Nginx 配置文件,通常位于 /etc/nginx/sites-available/example.com 或 /etc/nginx/nginx.conf。
sudo nano /etc/nginx/sites-available/example.com
在 server 块中添加以下配置:
server {
listen 443 ssl;
server_name example.com www.example.com;
ssl_certificate /etc/letsencrypt/live/example.com/fullchain.pem;
ssl_certificate_key /etc/letsencrypt/live/example.com/privkey.pem;
ssl_trusted_certificate /etc/letsencrypt/live/example.com/chain.pem;
ssl_stapling on;
ssl_stapling_verify on;
location / {
root /var/www/html;
index index.html index.htm;
}
# 其他配置...
}
确保 Nginx 能够访问 OCSP 服务器。你可以在 ssl_trusted_certificate 指令中指定 CA 证书链文件,这样 Nginx 就可以使用它来验证 OCSP 响应。
ssl_trusted_certificate /etc/ssl/certs/ca-certificates.crt;
保存并关闭配置文件后,重启 Nginx 以应用更改:
sudo systemctl restart nginx
你可以使用 openssl 命令来验证 OCSP Stapling 是否正常工作:
openssl s_client -connect example.com:443 -tls1_2 -tlsextdebug
在输出中查找 OCSP response 部分,如果看到类似以下内容,说明 OCSP Stapling 已成功启用:
OCSP response: success
通过以上步骤,你应该已经成功为 Debian 系统上的 Nginx 配置了 OCSP Stapling。这样可以提高 SSL/TLS 握手的性能和安全性。