ssl_ocsp_responder
ssl_ocsp_responder 指令指定用于 SSL 证书撤销检查的 OCSP 响应者 URL。 — NGINX HTTP Core
ssl_ocsp_responder
httpserver
语法ssl_ocsp_responder URL;
默认值none
上下文http, server
模块NGINX HTTP Core
参数1
说明
在 NGINX 中,ssl_ocsp_responder 指令用于定义在 SSL/TLS 握手过程中服务器出示的证书的撤销状态检查时应使用的在线证书状态协议(OCSP)响应者的 URL。当客户端连接到服务器并建立 SSL/TLS 会话时,该指令会指示 NGINX 验证客户端出示的证书是否仍然有效且未被证书颁发机构撤销。这对于维护 SSL 连接的安全性和完整性非常重要,可确保客户端不信任已被撤销的证书。 该指令可在 http 或 server 上下文中定义,从而允许其在全局或特定虚拟服务器级别应用。该指令的参数是一个单一的 URL,必须是有效的 OCSP 响应者端点。要实现此指令,要求 OpenSSL 库在编译时启用对 OCSP 的支持。NGINX 将在 SSL 握手期间在必要时利用该外部 OCSP 服务查询证书状态。来自 OCSP 响应者的响应有助于基于证书的当前状态决定是否接受或拒绝客户端的证书。
配置示例
server {
listen 443 ssl;
server_name example.com;
ssl_certificate /path/to/certificate.pem;
ssl_certificate_key /path/to/privatekey.pem;
ssl_ocsp_responder http://ocsp.example.com;
}⚠
确保该 URL 可从运行 NGINX 的服务器访问。
⚠
确认你的 OpenSSL 安装支持 OCSP;否则,该指令将无效。
⚠
OCSP 响应者必须正确配置并在线,才能响应查询。