开启OCSP提升https证书验证效率解决Let’s Encrypt SSL证书访问慢的问题

开启OCSP提升https证书验证效率解决Let’sEncryptSSL证书访问慢的问题

本文详细介绍了Apache和Nginx打开OCSP，提高https证书验证效率，处理Let'sEncryptSSL证书浏览慢的问题。

最近几天，第一次打开网页，特别慢。打开后，页面打开率一切正常。经过研究，发现HTTPS证书验证请求超时，证书提供商的验证URL无法打开。不清楚是路由问题还是网站被封。

教几位专家如何解决HTTPS证书验证请求超时的问题。解决方案是要么更换证书供应商，要么开放OCSP。

像我这样的穷人怎么能使用大厂的HTTPS证书呢？我不得不选择第二个计划，刚刚开始OCSP。

如果网站上部署了完全免费的Let'sEncrypt证书，https第一次打开这个网站时会显得很慢。通常要等四五秒才能正常打开一切。由于一个独特的原因，ocsp.int-x3.letsencrypt.orgWeb服务器的IP地址无法正常分析。

为了更好的提升网页访问的体验，我们可以开启OCSP钉钉来应对第一次浏览网站速度慢的问题。

文本中的自然环境:

宝塔

CentOS7/Windows2012R2

Apache/Nginx

一、对于香港服务器开启OCSPStapling

1.Apache或Nginx信息与系统软件

Apache开启OCSP：

①查找Apache安装目录，并在该目录下写入httpd-ssl.conf文件。CentOS系统软件中的目录是:/www/server/Apache/conf/extra/httpd-SSL.conf，Windows系统软件中的目录是:c:/Btsoft/Apache/conf/extra/httpd-SSL.conf，文件中除了下面两行

sslus采样开启

#CentOS:

SSLstaplingcache"shmcb:/www/server/Apache/logs/SSL_stapling(32768)"

#窗口:

SSLstaplingcache"shmcb:C:/Btsoft/Apache/logs/SSL_stapling(32768)"

如果以上两行不在文件中，手动添加。

②编写httpd.conf文件，CentOS系统软件中的目录为:/www/server/Apache/conf/httpd.conf，Windows系统软件中的目录为:c:/Btsoft/Apache/conf/httpd.conf，文件中除以下注释外:

loadmodulesocache_shmcb_modulemodules/mod_socache_shmcb.so

如果上述行不在文件中，请手动添加。

③带有URL的Apache信息，将以下信息添加到URL的配置文件中:

sslus采样开启

#CentOS:

SSLstaplingcache"shmcb:/www/server/Apache/logs/SSL_stapling(128000)"

#窗口:

SSLstaplingcache"shmcb:C:/Btsoft/Apache/logs/SSL_stapling(128000)"

以上信息可在此处添加一行

此时Apache已经启动了OCSP钉住，重启Apache即可。

Nginx开启OCSP：

现在将以下信息添加到URL的Nginx配置文件中:

服务器{

听443；

………

ssl_装订打开；#开放式装订

ssl_stapling_verifyon#打开装订验证

……

}

保存并重启Nginx。

二、对于内陆地区网络服务器开启OCSPStapling

与该过程的第一段一样，在打开OCSP装订之后，您还必须编写一个hosts文件来指定ocsp.int-x3.letsencrypt.org的网络服务器的IP地址。

ocsp.int-x3.letsencrypt.org网络服务器的IP地址如下:

23.44.51.8(英国)

23.44.51.27(英国)

104.109.129.57(美国)

104.109.129.11(美国)

175.45.42.209(中国香港)

175.45.42.218(中国香港)

223.119.50.201(中国香港)

223.119.50.203(中国香港)

23.32.3.72(日本东京)

写hosts文件，Windows中的方式是:C:\Windows\System32\Drivers\etc\hosts，Linux中的方式是:/etc/hosts，加上以下信息:

175.45.42.218·ocsp.int-x3.letsencrypt.org

重启Apache或Nginx即可。

三、验证OCSPStapling是不是开启取得成功

1.在SSH中应用以下指令:

OpenSSL_client-connectwww.yourwebsiteaddress.com:443-servernamewww.yourwebsiteaddress.com-status-tlsexdebug

如果网站返回OCSP响应:没有响应发送，这意味着开放不成功。

如果网站已成功打开OCSP装订，将返回提示:成功。

2.打开以下网站地址并键入您的网站地址进行检查:

https://www.getssl.cn/ocsp

如果你的网站出现，第一次打开网页会看起来很慢，而且也是https，为什么不看看证书有没有问题？

请大家关心一下，掌握很多关于网站打开速度慢的问题。