Denne artikel er en spejling af maskinoversættelse, klik venligst her for at springe til den oprindelige artikel.

Architect_Programmer_Code Landbrugsnetværk»Arkitekt Andre teknologier Serverkonfiguration Nginx-hjemmeside HTTPS-optimeret OCSP-binding
Udsigt: 259|Svar: 0

[Web] Nginx-hjemmeside HTTPS-optimeret OCSP-binding

[Kopier link]
Opslået den 4-11-2025 kl. 20:22:40 | | | |
Krav: Hjemmesiden muliggør OCSP-funktionen, OCSP-stapling er en af HTTPS-optimeringsløsningerne, som videresender den OCSP-forespørgsel, der oprindeligt skulle initieres af klienten i realtid, til serveren, og Nginx-serviceområdet modtager OCSP-forespørgselsresultaterne og sender dem til klienten sammen med certifikatet, så klienten kan springe processen med at søge autentificering over og forbedre effektiviteten af TLS-håndtrykket. HTTPS-ydelsen kan forbedres.

OCSP

OCSP (Online Certificate Status Protocol) er en online forespørgselsprotokol, der bruges til at verificere legitimiteten og gyldigheden af certifikater, leveret af Digital Certificate Authority (CA). Hver gang en bruger tilgår en hjemmeside via HTTPS, bruger browseren en OCSP-forespørgsel til at verificere, at webstedets certifikat er gyldigt.

Når OCSP-stapling er aktiveret, udføres OCSP-forespørgsler af webserveren, og weben cacher forespørgselsresultaterne til serveren. Når klienten giver hånd til webserverens TLS, svarer webben direkte på klientens OCSP-information og certifikat for klientverifikation, hvilket eliminerer behovet for, at klienten sender forespørgselsanmodninger til CA, hvilket i høj grad forbedrer effektiviteten af TLS-håndtrykket, sparer brugerautentificeringstid og optimerer HTTPS-hastigheden. Hvis du vil forbedre effektiviteten af certifikatstatusverifikation i HTTPS-håndtryk og forbedre adgangsydelsen til hjemmesiden, kan du aktivere OCSP-binding.

Som vist i følgende figur:



Online Certifikatstatusprotokol (OCSP)

Online Certificate Status Protocol (OCSP) blev oprettet som et alternativ til Certificate Revocation List (CRL)-protokollen. Begge protokoller bruges til at kontrollere, om et SSL-certifikat er blevet tilbagekaldt.

CRL-protokollen kræver, at browsere downloader et stort antal oplysninger om tilbagekaldelse af SSL-certifikater: certifikatets serienummer og den seneste udgivelsesdato for hvert certifikat. Problemet med CRL-protokollen er, at den kan forlænge den tid, det tager for SSL-forhandlinger.

OCSP-protokollen eliminerer behovet for, at browsere bruger tid på at downloade og søge i en liste over certifikatoplysninger. Med OCSP udsender browseren blot en forespørgsel for at modtage et svar fra OCSP-responderen (CA's server, der specifikt lytter efter og svarer på OCSP-anmodninger) om status for certifikatindkaldelsen.

OCSP-binding

OCSP Stapling kan forbedre OCSP-protokollen ved at gøre webhosts mere proaktive i at forbedre klientens (browsing-) oplevelse. OCSP Stapling gør det muligt for certifikatudstederen (dvs. webserveren) at forespørge OCSP-responderen direkte og derefter cache svaret. Svaret fra denne sikre cache sendes derefter sammen med TLS/SSL-håndtrykket gennem Certificate Status Request-udvidelsen, hvilket sikrer, at browseren får samme responsive ydeevne, når den henter certifikatstatus og webstedsindhold.

OCSP Stapling løser OCSP'erEt privatlivsspørgsmålfordi CA'en ikke længere modtager tilbagekaldelsesanmodninger direkte fra klienten (browseren). Browseren anmoder direkte om en tredjeparts CA (Certificate Authority),Besøgende på hjemmesiden, der vil blive eksponeret (CA vil vide, hvilke brugere der besøger vores hjemmeside)。 OCSP Stapling adresserer også OCSP SSL-forhandlingsforsinkelsen ved at eliminere behovet for en separat netværksforbindelse til CA-responsserveren.

Tjek OCSP-bindingen

Der gives to scenarier for at kontrollere, om OCSP-binding er aktiveret.

Online hjemmesideforespørgsel:Hyperlink-login er synlig., indtast domænenavnet. Som vist nedenfor:



OCSP Staple: God betyder aktiveret, Ikke aktiveret betyder ikke aktiveret.

Du kan også forespørge via kommandolinjen via openssl-værktøjet, som er som følger:

OCSP-svar:Intet svar sendtRepræsentanter er ikke aktiveret
OCSP-responsstatus:succesfuld (0x0)Repræsentativ aktiveret

Som vist nedenfor:



Konfigurer OCSP-stapling på Nginx-serveren

Ændr nginx-domænenavnet conf-konfigurationsfilen for at tilføje følgende til servernoden:

Husk at genstarte nginx-tjenesten, når konfigurationen er fuldført.

Henvisning:

Hyperlink-login er synlig.
Hyperlink-login er synlig.
Hyperlink-login er synlig.
Hyperlink-login er synlig.




Tidligere:Indlejret i virksomhedens WeChat-scanningskode-loginfunktion rapportEvent problem
Næste:ASP.NET Core (33) filuddatadownload (kinesisk filnavn)

Relaterede indlæg
Ansvarsfraskrivelse:
Al software, programmeringsmaterialer eller artikler udgivet af Code Farmer Network er kun til lærings- og forskningsformål; Ovenstående indhold må ikke bruges til kommercielle eller ulovlige formål, ellers skal brugerne bære alle konsekvenser. Oplysningerne på dette site kommer fra internettet, og ophavsretstvister har intet med dette site at gøre. Du skal slette ovenstående indhold fuldstændigt fra din computer inden for 24 timer efter download. Hvis du kan lide programmet, så understøt venligst ægte software, køb registrering og få bedre ægte tjenester. Hvis der er nogen overtrædelse, bedes du kontakte os via e-mail.
Mail To:help@itsvse.com