啟用 OCSP Stapling 可以提高 HTTPS 連接的性能和安全性：

1. ssl_stapling on;：啟用 OCSP Stapling。服務器會緩存并提供證書的 OCSP 響應，而不是讓每個客戶端單獨請求證書頒發(fā)機構。
2. ssl_stapling_verify on;：啟用 OCSP Stapling 響應的驗證，確保服務器提供的 OCSP 響應是有效的。

這樣可以減少客戶端的請求次數(shù)，加快連接速度，同時提高證書狀態(tài)檢查的安全性。

查看開啟了OCSP裝訂的效果，可參考惠簽SSL（sctgo.com）

以下配置方法僅供參考，請根據(jù)自己的實際情況配置。

一、Nginx

在 Nginx 中開啟 OCSP Stapling，可以按照以下步驟操作：

1. 確保 Nginx 已編譯并支持 OCSP Stapling。通?，F(xiàn)代版本的 Nginx 都支持。

2. 在你的 Nginx 配置文件中（通常是 /etc/nginx/nginx.conf 或 /etc/nginx/conf.d/your_site.conf），找到你的 server 塊。

3. 在 server 塊中添加以下配置：

   server {
   listen 443 ssl;
   server_name your_domain.com;
   
   ssl_certificate /path/to/your_certificate.crt;
   ssl_certificate_key /path/to/your_certificate_key.key;
   ssl_trusted_certificate /path/to/your_trusted_certificate_chain.crt;
   
   ssl_stapling on;
   ssl_stapling_verify on;
   
   resolver 8.8.8.8 8.8.4.4 valid=300s;
   resolver_timeout 5s;
   
   # 其他配置
   }

其中：

• ssl_certificate 指向你的 SSL 證書文件。
• ssl_certificate_key 指向你的 SSL 證書密鑰文件。
• ssl_trusted_certificate 指向你的完整證書鏈文件（包括根證書和中間證書）。
• resolver 和 resolver_timeout 用于指定 DNS 解析器，幫助驗證 OCSP 響應。

4. 保存配置文件，然后重新加載 Nginx 配置：
   sudo nginx -s reload

這樣就啟用了 OCSP Stapling。

二、Apache

在 Apache 中開啟 OCSP Stapling，可以按照以下步驟操作：

1. 確保 Apache 已編譯并支持 OCSP Stapling。通常現(xiàn)代版本的 Apache 都支持。

2. 打開你的 Apache 配置文件（通常是 /etc/httpd/conf/httpd.conf 或 /etc/apache2/sites-available/your_site.conf）。

3. 在你的虛擬主機配置中添加以下指令：

   <VirtualHost *:443>
   ServerName your_domain.com
   
   SSLEngine on
   SSLCertificateFile /path/to/your_certificate.crt
   SSLCertificateKeyFile /path/to/your_certificate_key.key
   SSLCertificateChainFile /path/to/your_certificate_chain.crt
   
   SSLUseStapling on
   SSLStaplingResponderTimeout 5
   SSLStaplingReturnResponderErrors off
   SSLStaplingCache "shmcb:/var/run/ocsp(128000)"
   
   # 其他配置
   </VirtualHost>

   其中：

   • SSLCertificateFile 指向你的 SSL 證書文件。
   • SSLCertificateKeyFile 指向你的 SSL 證書密鑰文件。
   • SSLCertificateChainFile 指向你的完整證書鏈文件（包括根證書和中間證書）。
   • SSLUseStapling 啟用 OCSP Stapling。
   • SSLStaplingResponderTimeout 設置 OCSP 響應的超時時間。
   • SSLStaplingReturnResponderErrors 設置是否返回 OCSP 響應錯誤。
   • SSLStaplingCache 設置 OCSP Stapling 的緩存位置和大小。

4. 保存配置文件，然后重新加載 Apache 配置：
   sudo systemctl reload apache2

或
sudo systemctl reload httpd

這樣就啟用了 OCSP Stapling。

三、IIS

在 IIS 中啟用 OCSP Stapling 可以通過以下步驟完成：

1. 打開 IIS 管理器。
2. 在左側連接窗口中選擇你的服務器名稱。
3. 在中間的功能視圖中，雙擊 “SSL 設置”。
4. 在右側操作窗口中，點擊 “高級設置”。
5. 在彈出的對話框中，找到 “啟用 OCSP Stapling” 選項并將其設置為 “True”。
6. 點擊 “確定” 保存設置。

完成以上步驟后，OCSP Stapling 就會在 IIS 上啟用。