边缘安全
  • 概述
  • DDoS 防护
    • DDoS 防护概述
    • 使用独立 DDoS 防护
    • 配置独立 DDoS 防护策略
      • 调整 DDoS 防护等级
      • 独立 DDoS 攻击流量告警
      • 配置 IP 黑白名单
      • 配置区域封禁
      • 配置端口过滤
      • 配置特征过滤
      • 配置协议封禁
      • 配置连接类攻击防护
      • 相关参考
        • 处置方式
        • 相关概念介绍
  • Web 防护
    • 概述
    • 托管规则
    • CC 攻击防护
    • 自定义规则
    • 自定义速率限制规则
    • 防护例外规则
    • 托管定制规则
    • Web 安全监控告警
    • 相关参考
      • Web 防护请求处理顺序
      • 处置方式
      • 匹配条件
  • Bot 管理
    • 概述
    • Bot 智能分析
    • Bot 基础特征管理
    • 客户端画像分析
    • 主动特征识别
    • 自定义 Bot 规则
    • Bot 管理例外规则
    • 相关参考
      • 处置方式
  • 策略模板
  • IP 和网段分组
  • 源站防护
  • 自定义响应页面
  • 告警通知推送
  • SSL/TLS
    • 概述
    • 部署/更新 SSL 托管证书至 EdgeOne 域名
    • 使用免费证书部署至 EdgeOne 域名
    • HTTPS 配置
      • 强制 HTTPS 访问
      • 启用 HSTS
      • SSL/TLS 安全配置
        • 配置 SSL/TLS 安全等级
        • TLS 版本及密码套件说明
      • 开启 OCSP 装订

开启 OCSP 装订

功能说明

OCSP(Online Certificate Status Protocol)是用来检验证书合法性和有效性的在线查询协议,由数字证书颁发机构 CA(Certificate Authority)提供。当用户每次通过 HTTPS 访问网站的时候,浏览器会通过 OCSP 查询验证网站的证书是否有效。

启用 OCSP 装订后,OCSP 查询的工作将由 EdgeOne 服务器完成,且 EdgeOne 可将查询结果缓存到服务器中。当客户端与 EdgeOne TLS 握手时,EdgeOne 直接响应客户端 OCSP 信息和证书,供客户端验证,无需再由客户端向 CA 发送查询请求,极大地提高了 TLS 握手效率,节省用户验证时间,优化 HTTPS 速度。

若您希望提高 HTTPS 握手中证书状态校验的效率,提升网站访问性能,可开启 OCSP 装订。
未启用 OCSP 装订
启用 OCSP 装订








1. 客户端发起 TLS 握手请求。
2. EdgeOne 响应 TLS 握手(返回证书)。
3. 客户端发起 OCSP 查询。
4. CA 返回查询结果。
1. 客户端发起 TLS 握手请求。
2. EdgeOne 发起 OCSP 查询。
3. CA 返回查询结果,EdgeOne 缓存结果。
4. EdgeOne 响应 TLS 握手(返回证书和 OCSP 信息)。
因 EdgeOne 已缓存 OCSP 信息,后续请求若发起查询,则由 EdgeOne 直接响应,无需再次发起查询。

场景一:针对站点所有域名开启 OCSP 装订

若您需要对整个接入站点开启 OCSP 装订,可参考以下步骤:

前提条件

当前站点的访问域名均已配置 SSL 证书。如何配置 SSL 证书请参考:证书配置

操作步骤

1. 登录 边缘安全加速平台 EO控制台,在左侧菜单栏中,单击站点列表,在站点列表内单击需配置的站点
2. 在站点详情页面,单击站点加速,进入站点全局配置页面,在右侧导航栏中,单击 HTTPS
3. 找到 OCSP 装订配置卡片,单击开关

关闭(默认):客户端发起请求,TLS 握手时,客户端需自行向 CA 发送证书验证请求,实时查询证书状态。
开启:EdgeOne 向 CA 发送证书验证请求,并缓存查询结果。客户端向 EdgeOne 节点发起 HTTPS 请求时,直接由 EdgeOne 响应证书查询结果供客户端验证。

场景二:针对指定域名开启 OCSP 装订

若您只需要针对指定域名开启 OCSP 装订,可参考以下步骤:

前提条件

当前指定需开启 OCSP 装订的域名均已配置 SSL 证书。如何配置 SSL 证书请参考:证书配置

操作步骤

1. 登录 边缘安全加速平台 EO控制台,在左侧菜单栏中,单击站点列表,在站点列表内单击需配置的站点。
2. 在站点详情页面,单击站点加速,进入站点全局配置页面,单击规则引擎 Tab 页
3. 在规则引擎页面,单击创建规则,选择新增空白规则
4. 在规则编辑页面,选择 Host 匹配类型以匹配指定域名的请求。
5. 单击操作 > 选择框,在弹出的操作列表内,选择操作为 OCSP 装订,单击开关开启配置

6. 单击保存并发布,即可完成该规则配置。