开启 OCSP 装订
功能说明
OCSP(Online Certificate Status Protocol)是用来检验证书合法性和有效性的在线查询协议,由数字证书颁发机构 CA(Certificate Authority)提供。当用户每次通过 HTTPS 访问网站的时候,浏览器会通过 OCSP 查询验证网站的证书是否有效。
启用 OCSP 装订后,OCSP 查询的工作将由 EdgeOne 服务器完成,且 EdgeOne 可将查询结果缓存到服务器中。当客户端与 EdgeOne TLS 握手时,EdgeOne 直接响应客户端 OCSP 信息和证书,供客户端验证,无需再由客户端向 CA 发送查询请求,极大地提高了 TLS 握手效率,节省用户验证时间,优化 HTTPS 速度。
若您希望提高 HTTPS 握手中证书状态校验的效率,提升网站访问性能,可开启 OCSP 装订。
未启用 OCSP 装订 | 启用 OCSP 装订 |
| |
1. 客户端发起 TLS 握手请求。 2. EdgeOne 响应 TLS 握手(返回证书)。 3. 客户端发起 OCSP 查询。 4. CA 返回查询结果。 | 1. 客户端发起 TLS 握手请求。 2. EdgeOne 发起 OCSP 查询。 3. CA 返回查询结果,EdgeOne 缓存结果。 4. EdgeOne 响应 TLS 握手(返回证书和 OCSP 信息)。 因 EdgeOne 已缓存 OCSP 信息,后续请求若发起查询,则由 EdgeOne 直接响应,无需再次发起查询。 |
场景一:针对站点所有域名开启 OCSP 装订
若您需要对整个接入站点开启 OCSP 装订,可参考以下步骤:
前提条件
操作步骤
1. 登录 边缘安全加速平台 EO控制台,在左侧菜单栏中,单击站点列表,在站点列表内单击需配置的站点。
2. 在站点详情页面,单击站点加速,进入站点全局配置页面,在右侧导航栏中,单击 HTTPS。
3. 找到 OCSP 装订配置卡片,单击开关。
关闭(默认):客户端发起请求,TLS 握手时,客户端需自行向 CA 发送证书验证请求,实时查询证书状态。
开启:EdgeOne 向 CA 发送证书验证请求,并缓存查询结果。客户端向 EdgeOne 节点发起 HTTPS 请求时,直接由 EdgeOne 响应证书查询结果供客户端验证。
场景二:针对指定域名开启 OCSP 装订
若您只需要针对指定域名开启 OCSP 装订,可参考以下步骤:
前提条件
操作步骤
1. 登录 边缘安全加速平台 EO控制台,在左侧菜单栏中,单击站点列表,在站点列表内单击需配置的站点。
2. 在站点详情页面,单击站点加速,进入站点全局配置页面,单击规则引擎 Tab 页。
3. 在规则引擎页面,单击创建规则,选择新增空白规则。
4. 在规则编辑页面,选择 Host 匹配类型以匹配指定域名的请求。
5. 单击操作 > 选择框,在弹出的操作列表内,选择操作为 OCSP 装订,单击开关开启配置。
6. 单击保存并发布,即可完成该规则配置。