OCSP Stapling功能可实现由边缘安全加速 ESA预先缓存在线证书验证结果并下发给客户端,无需客户端直接向CA站点查询证书状态,从而减少证书验证时间,提升用户访问速度。
OCSP Stapling
OCSP(Online Certificate Status Protocol,在线证书状态协议)是由数字证书颁发机构CA(Certificate Authority)提供的用于客户端实时验证证书的合法性和有效性的协议。客户端的每次请求都会向CA进行OCSP查询,以确认证书的合法性和有效性,但频繁的OCSP查询请求导致TLS握手效率较低,将影响用户访问速度。
开启OCSP Stapling功能后,OCSP信息查询的工作将由边缘安全加速 ESA服务器完成。边缘安全加速 ESA通过低频次查询,将查询结果缓存到服务器中(默认缓存时间60分钟)。当客户端向服务器发起TLS握手请求时,边缘安全加速 ESA服务器将证书的OCSP信息和证书一起发送给客户端,无需再向数字证书认证机构(CA)发送查询请求。极大地提高了TLS握手效率,节省了证书验证时间。
注意事项
在开启OCSP Stapling之前,请确保您的站点已成功配置SSL/TLS证书并开启SSL/TLS功能。详细情况请参见配置边缘证书。
客户端需支持OCSP扩展字段,如果客户端版本不支持OCSP扩展字段,则功能无法生效。
OCSP Stapling功能默认缓存时间是1小时,缓存过期后第一个访问请求OCSP Stapling将不生效,直到重新获取OCSP Stapling信息为止。
如果您删除了所有的SSL/TLS证书,OCSP Stapling功能会同步失效。
开启OCSP Stapling
登录ESA控制台。
在左侧导航栏,单击站点管理。
在站点管理页面,单击目标站点名称,或对应站点操作列的详情。
在左侧导航栏,选择
。打开OCSP Stapling开关。