ssl_ocsp
指令 `ssl_ocsp` 在 NGINX 中用于启用或禁用针对 SSL/TLS 连接的在线证书状态协议 (OCSP) 检查。 — NGINX HTTP Core
ssl_ocsp
httpserver
语法ssl_ocsp on | off;
默认值off
上下文http, server
模块NGINX HTTP Core
参数1
说明
`ssl_ocsp` 指令用于指定在 NGINX 中是否为 SSL/TLS 证书启用在线证书状态协议 (OCSP)。当启用 OCSP 时,NGINX 会查询证书颁发机构 (CA) 以验证客户端提供的 SSL 证书的吊销状态,从而通过确保仅接受有效的客户端证书来提高安全性。该指令在 NGINX 配置的 `http` 和 `server` 上下文中均有效。 启用此指令后,NGINX 会在 SSL 握手过程中尝试检查证书的状态。这种检查对于检测 TLS 证书是否被吊销至关重要。如果发现证书已被吊销,可以根据服务器的配置设置适当终止连接。但是,需要谨慎实施此功能,因为依赖外部 OCSP 服务器可能会引入延迟,或在这些服务器不可用时导致站点的 SSL 性能出现故障。此外,在设置证书时应提供有效的 OCSP 响应者 URL。 `ssl_ocsp` 指令只接受一个参数,该参数表明是否启用或禁用 OCSP 检查。对于需要高安全性的应用,该指令尤其重要,因为它有助于在有效管理客户端连接的 SSL 状态时防止使用已被攻破的证书。
配置示例
server {
listen 443 ssl;
ssl_certificate /path/to/certificate.pem;
ssl_certificate_key /path/to/private.key;
ssl_ocsp on;
}⚠
确保 OCSP 响应者 URL 已正确配置且可访问;否则 SSL 握手可能会失败。
⚠
请记得监控 OCSP 响应时间,以免因延迟影响用户体验。
⚠
在高负载服务器上启用 OCSP 时,请考虑其影响,因为频繁向 OCSP 服务器发起网络请求可能会带来性能开销。