以下是根据宝塔控制面板,nginx环境配置SSL后增加的配置内容。
# OCSP stapling ssl_stapling on; ssl_stapling_responder http://ocsp.sectigo.com/; ssl_stapling_verify on; # verify chain of trust of OCSP response using Root CA and Intermediate certs ssl_trusted_certificate /www/server/panel/vhost/cert/8.142.243.79/fullchain.pem; resolver 8.8.8.8 8.8.4.4 valid=600s; #
说明:
ssl_stapling_responder 证书颁发机构的ocsp服务器地址。
ssl_trusted_certificate 证书链文件具体目录
配置完成需要重启环境生效。
标准文档说明如下:
# OCSP stapling ssl_stapling on; ssl_stapling_responder http://your-ocsp-server-name/; ssl_stapling_verify on; # verify chain of trust of OCSP response using Root CA and Intermediate certs ssl_trusted_certificate /path/to/root_CA_cert_plus_intermediates.pem; # replace with the IP address of your resolver resolver 114.114.114.114;
替换 Responder 请替换 http://your-ocsp-server-name/ 为您实际使用证书的颁发机构的OCSP服务器地址。倘若您申请使用的是 Sectigo 证书,您应该将此行修改为:
ssl_stapling_responder http://ocsp.sectigo.com/
替换证书链 为了能够帮助客户端校验您的OCSP响应,您还需要将 /path/to/root_CA_cert_plus_intermediates.pem 替换为您证书的实际证书链。证书链根据证书类型和颁发机构发生变化。您可以查看您获得的证书压缩包,并找到您的证书链代码。上传至证书链代码至服务器,并修改此配置路径至您的证书链。
重载Nginx 为了使您的配置文件生效,您需要重载(reload)您的Nginx或在维护期间重启您的Nginx服务。