网上已经有很多关于在 Nginx中启用 ocsp stapling 的文章内容,这里就不再复述,如果需要可以查看:OCSP Stapling 如何在服务器 Apache 或 Nginx 中开启。
本文说的是通过目前常用的服务器管理软件 BT宝塔面板在 Apache中开启 OCSP Stapling 的过程方法,从而使 https网站访问速度大大加快。
废话不多说,直接说方法:
第一步,开启 Apache的 SSLUseStapling On
首先登录你的宝塔面板 在左侧 文件 栏目中找到 /www/server/apache/conf/extra 路径下的 httpd-ssl.conf 文件打开
把 103行 和 109行 最前面 #号 去掉取消注释而开启 ocsp stapling,112行 和 115行参数可以选择性开启,具体如图:
至此网上大部分方法都只是到这说就完了,但实际测试并不起作用。因为在宝塔面板中还需要下面的步骤才能真正开启 ocsp stapling
第二步,在宝塔面板的 网站 设置 添加代码
在宝塔面板左侧 网站 下对应你的网站设置中 配置文件 中添加代码,具体如图 (一定要在VirtualHost
标签外添加)
代码如下:
- SSLUseStapling on
- SSLStaplingCache "shmcb:/www/server/apache/logs/ssl_stapling(128000)"
这时保存的时候可能会出现如下错误提示:
SSLStaplingCache: 'shmcb' stapling cache not supported (known names: ) Maybe you need to load the appropriate socache module (mod_socache_shmcb?)
如果有这错误提示你还需要第三步
第三步,如有错误提示开启 Apache的 mod_socache_shmcb.so模块
还是在文件目录 /www/server/apache/conf 路径下 httpd.conf 文件中找到第 89行 mod_socache_shmcb.so 取消注释# 如图:
之后再执行第二步保存就好了,现在你应该已经成功在宝塔面板 Apache中开启 OCSP Stapling 功能了。
第四步,测试 OCSP Stapling 是否开启成功
方法1:SSH中测试命令如下:
- openssl s_client -connect www.domainame.com:443 -servername www.domainame.com -status -tlsextdebug < /dev/null 2>&1 | grep -i "OCSP response"
若站点返回 OCSP response: no response sent,代表开启失败。(记得域名更换为你网站地址)
若站点已成功启用 OCSP Stapling,会返回提示中有:successful
方法2:或者使用命令:
- echo QUIT | openssl s_client -connect www.domainame.com:443 -status 2> /dev/null | grep -A 17 'OCSP response:'
执行后,若没有返回信息,则开启失败。
若站点已成功启用 OCSP Stapling,会返回提示中有:successful
方法3:利用第三方网站的域名检测
检测地址:https://www.ssllabs.com/ssltest/
输入域名,点击 submit 进行检测。
测试完成,若结果中 ocsp stapling 这项是 yes,代表你站点的 ocsp stapling 已成功开启。
转载请注明链接地址:荐爱小站 » 在宝塔面板 Apache中开启 OCSP Stapling 提高 HTTPS 访问速度