OCSP Stapling功能可實現邊緣安全加速 ESA預先緩衝線上認證驗證結果並下發給用戶端,無需用戶端直接向CA網站查詢認證狀態,從而減少認證驗證時間,提升使用者訪問速度。
OCSP Stapling
OCSP(Online Certificate Status Protocol,線上憑證狀態通訊協定)是由數位憑證頒發機構CA(Certificate Authority)提供的用於用戶端即時驗證認證的合法性和有效性的協議。用戶端的每次請求都會向CA進行OCSP查詢,以確認認證的合法性和有效性,但頻繁的OCSP查詢請求導致TLS握手效率較低,影響使用者訪問速度。
開啟OCSP Stapling功能後,OCSP資訊查詢的工作將由ESA伺服器完成。ESA通過低頻次查詢,將查詢結果緩衝到伺服器中(預設緩衝時間60分鐘)。當用戶端向伺服器發起TLS握手請求時,ESA伺服器將認證的OCSP資訊和認證一起發送給用戶端,無需再向數位憑證認證機構(CA)發送查詢請求。極大地提高了TLS握手效率,節省了認證驗證時間。
注意事項
在開啟OCSP Stapling之前,請確保您的網站已開啟SSL/TLS並配置邊緣認證。
用戶端需支援OCSP擴充欄位,如果用戶端版本不支援OCSP擴充欄位,則功能無法生效。
OCSP Stapling功能預設緩衝時間是1小時,緩衝到期後第一個訪問請求OCSP Stapling將不生效,直到重新擷取OCSP Stapling資訊為止。
如果您刪除了所有的SSL/TLS認證,OCSP Stapling功能會同步失效。
開啟OCSP Stapling
在ESA控制台選擇網站管理,在網站列單擊目標網站。
在左側導覽列,選擇。
開啟OCSP Stapling開關。
網站全域功能與規則功能的對應關係
網站全域功能添加的配置會對網站下的所有請求生效。若您只想對特定請求開啟此功能,可通過規則功能添加的配置:使用規則條件來識別使用者請求中攜帶的特定參數資訊,以此來更精確地控制規則配置僅對指定請求生效。網站全域配置OCSP Stapling對應的規則功能是OCSP Stapling。