啟用 OCSP Stapling 可以提高 HTTPS 連接的性能和安全性：

1. ssl_stapling on;：?jiǎn)⒂?OCSP Stapling。服務(wù)器會(huì)緩存并提供證書(shū)的 OCSP 響應(yīng)，而不是讓每個(gè)客戶端單獨(dú)請(qǐng)求證書(shū)頒發(fā)機(jī)構(gòu)。
2. ssl_stapling_verify on;：?jiǎn)⒂?OCSP Stapling 響應(yīng)的驗(yàn)證，確保服務(wù)器提供的 OCSP 響應(yīng)是有效的。

這樣可以減少客戶端的請(qǐng)求次數(shù)，加快連接速度，同時(shí)提高證書(shū)狀態(tài)檢查的安全性。

查看開(kāi)啟了OCSP裝訂的效果，可參考惠簽SSL（sctgo.com）

以下配置方法僅供參考，請(qǐng)根據(jù)自己的實(shí)際情況配置。

一、Nginx

在 Nginx 中開(kāi)啟 OCSP Stapling，可以按照以下步驟操作：

1. 確保 Nginx 已編譯并支持 OCSP Stapling。通?，F(xiàn)代版本的 Nginx 都支持。

2. 在你的 Nginx 配置文件中（通常是 /etc/nginx/nginx.conf 或 /etc/nginx/conf.d/your_site.conf），找到你的 server 塊。

3. 在 server 塊中添加以下配置：

   server {
   listen 443 ssl;
   server_name your_domain.com;
   
   ssl_certificate /path/to/your_certificate.crt;
   ssl_certificate_key /path/to/your_certificate_key.key;
   ssl_trusted_certificate /path/to/your_trusted_certificate_chain.crt;
   
   ssl_stapling on;
   ssl_stapling_verify on;
   
   resolver 8.8.8.8 8.8.4.4 valid=300s;
   resolver_timeout 5s;
   
   # 其他配置
   }

其中：

• ssl_certificate 指向你的 SSL 證書(shū)文件。
• ssl_certificate_key 指向你的 SSL 證書(shū)密鑰文件。
• ssl_trusted_certificate 指向你的完整證書(shū)鏈文件（包括根證書(shū)和中間證書(shū)）。
• resolver 和 resolver_timeout 用于指定 DNS 解析器，幫助驗(yàn)證 OCSP 響應(yīng)。

4. 保存配置文件，然后重新加載 Nginx 配置：
   sudo nginx -s reload

這樣就啟用了 OCSP Stapling。

二、Apache

在 Apache 中開(kāi)啟 OCSP Stapling，可以按照以下步驟操作：

1. 確保 Apache 已編譯并支持 OCSP Stapling。通?，F(xiàn)代版本的 Apache 都支持。

2. 打開(kāi)你的 Apache 配置文件（通常是 /etc/httpd/conf/httpd.conf 或 /etc/apache2/sites-available/your_site.conf）。

3. 在你的虛擬主機(jī)配置中添加以下指令：

   <VirtualHost *:443>
   ServerName your_domain.com
   
   SSLEngine on
   SSLCertificateFile /path/to/your_certificate.crt
   SSLCertificateKeyFile /path/to/your_certificate_key.key
   SSLCertificateChainFile /path/to/your_certificate_chain.crt
   
   SSLUseStapling on
   SSLStaplingResponderTimeout 5
   SSLStaplingReturnResponderErrors off
   SSLStaplingCache "shmcb:/var/run/ocsp(128000)"
   
   # 其他配置
   </VirtualHost>

   其中：

   • SSLCertificateFile 指向你的 SSL 證書(shū)文件。
   • SSLCertificateKeyFile 指向你的 SSL 證書(shū)密鑰文件。
   • SSLCertificateChainFile 指向你的完整證書(shū)鏈文件（包括根證書(shū)和中間證書(shū)）。
   • SSLUseStapling 啟用 OCSP Stapling。
   • SSLStaplingResponderTimeout 設(shè)置 OCSP 響應(yīng)的超時(shí)時(shí)間。
   • SSLStaplingReturnResponderErrors 設(shè)置是否返回 OCSP 響應(yīng)錯(cuò)誤。
   • SSLStaplingCache 設(shè)置 OCSP Stapling 的緩存位置和大小。

4. 保存配置文件，然后重新加載 Apache 配置：
   sudo systemctl reload apache2

或
sudo systemctl reload httpd

這樣就啟用了 OCSP Stapling。

三、IIS

在 IIS 中啟用 OCSP Stapling 可以通過(guò)以下步驟完成：

1. 打開(kāi) IIS 管理器。
2. 在左側(cè)連接窗口中選擇你的服務(wù)器名稱(chēng)。
3. 在中間的功能視圖中，雙擊 “SSL 設(shè)置”。
4. 在右側(cè)操作窗口中，點(diǎn)擊 “高級(jí)設(shè)置”。
5. 在彈出的對(duì)話框中，找到 “啟用 OCSP Stapling” 選項(xiàng)并將其設(shè)置為 “True”。
6. 點(diǎn)擊 “確定” 保存設(shè)置。

完成以上步驟后，OCSP Stapling 就會(huì)在 IIS 上啟用。