功能说明
OCSP(Online Certificate Status Protocol)是用来检验证书合法性和有效性的在线查询协议,由数字证书颁发机构 CA(Certificate Authority)提供。当用户每次通过 HTTPS 访问网站的时候,浏览器会通过 OCSP 查询验证网站的证书是否有效。
?
启用 OCSP 装订后,OCSP 查询的工作将由 EdgeOne 服务器完成,且 EdgeOne 可将查询结果缓存到服务器中。当客户端与 EdgeOne TLS 握手时,EdgeOne 直接响应客户端 OCSP 信息和证书,供客户端验证,无需再由客户端向 CA 发送查询请求,极大地提高了 TLS 握手效率,节省用户验证时间,优化 HTTPS 速度。
?
若您希望提高 HTTPS 握手中证书状态校验的效率,提升网站访问性能,可开启 OCSP 装订。
未启用 OCSP 装订 | 启用 OCSP 装订 |
? ? ? | ? ? ? |
1. 客户端发起 TLS 握手请求。 2. EdgeOne 响应 TLS 握手(返回证书)。 3. 客户端发起 OCSP 查询。 4. CA 返回查询结果。 | 1. 客户端发起 TLS 握手请求。 2. EdgeOne 发起 OCSP 查询。 3. CA 返回查询结果,EdgeOne 缓存结果。 4. EdgeOne 响应 TLS 握手(返回证书和 OCSP 信息)。 因 EdgeOne 已缓存 OCSP 信息,后续请求若发起查询,则由 EdgeOne 直接响应,无需再次发起查询。 |
场景一:针对站点所有域名开启 OCSP 装订
若您需要对整个接入站点开启 OCSP 装订,可参考以下步骤:
前提条件
操作步骤
1. 登录 边缘安全加速平台 EO 控制台,在左侧菜单栏中,单击站点列表,在站点列表内单击需配置的站点,进入站点详情页面。
2. 在站点详情页面,单击站点加速 > HTTPS ,进入 HTTPS 详情页面。
3. 找到 OCSP 装订配置卡片,单击全局站点开关。
?
?
?关闭(默认):客户端发起请求,TLS 握手时,客户端需自行向 CA 发送证书验证请求,实时查询证书状态。
开启:EdgeOne 向 CA 发送证书验证请求,并缓存查询结果。客户端向 EdgeOne 节点发起 HTTPS 请求时,直接由 EdgeOne 响应证书查询结果供客户端验证。
场景二:针对指定域名开启 OCSP 装订
若您只需要针对指定域名开启 OCSP 装订,可参考以下步骤:
前提条件
操作步骤
1. 登录 边缘安全加速平台 EO 控制台,在左侧菜单栏中,单击站点列表,在站点列表内单击需配置的站点。
2. 在站点详情页面,单击规则引擎。
3. 在规则引擎管理页面,单击创建规则,进入新规则的编辑页面。
4. 在规则编辑页面,选择 Host 匹配类型以匹配指定域名的请求。
5. 单击操作 > 选择框,在弹出的操作列表内,选择操作为 OCSP 装订。
?
?6. 单击保存并发布,即可完成该规则配置。