ssl_stapling_file
指令 `ssl_stapling_file` 指定用于 SSL stapling 的 OCSP 响应文件名。 — NGINX HTTP Core
ssl_stapling_file
httpserver
语法ssl_stapling_file path;
默认值none
上下文http, server
模块NGINX HTTP Core
参数1
说明
NGINX 中的 `ssl_stapling_file` 指令通过提供包含 OCSP(Online Certificate Status Protocol,在线证书状态协议)响应的特定文件来启用 OCSP 附加。该指令可以放在 `http` 或 `server` 上下文中,从而对所有虚拟服务器或配置中定义的特定服务器生效。通过提供 OCSP 响应文件,NGINX 能将该响应附加到 TLS 握手中,从而减少需要在线检查的次数,提升 SSL 连接的性能。 `ssl_stapling_file` 指令的参数是单个参数,即包含序列化 OCSP 响应数据的文件路径。该文件应由 CA(Certificate Authority,证书颁发机构)或其他受信任的中介生成,并需定期更新,因为 OCSP 响应通常有有效期。确保 OCSP 响应保持最新非常重要,以便客户端在 TLS 会话期间能够有效地验证证书状态。如果文件路径不正确或内容无效,NGINX 将记录错误信息并为该服务器禁用 OCSP 附加。
配置示例
server {
listen 443 ssl;
ssl_certificate /path/to/certificate.pem;
ssl_certificate_key /path/to/key.pem;
ssl_stapling on;
ssl_stapling_file /path/to/ocsp_response.der;
}⚠
确保 OCSP 响应文件定期更新;过期的响应可能导致客户端拒绝连接。
⚠
该文件必须具有 NGINX 可读取的正确权限;否则 NGINX 将无法加载 OCSP 数据并禁用 stapling。
⚠
确保响应文件按照 OCSP 规范正确格式化。格式不正确可能导致解析错误。