为 Nginx 配置开启 OCSP 装订

在开始修改您的Nginx网站配置文件之前，您需要确保您的网站当前已经正确配置好了SSL证书，并且可以正常使用 https:// 协议访问。如果您还没有配置好SSL证书，您还可以参考我们已经发布的Nginx上SSL证书的安装文档，来安装您已经在TrustOcean申请的SSL证书到服务器。

为网站开启OCSP装订

需要您编辑下列代码并添加至您的Nginx网站配置文件的SSL证书配置内容之后，配置内容(例子)：

# OCSP stapling
ssl_stapling on;
ssl_stapling_responder http://your-ocsp-server-name/;
ssl_stapling_verify on;

# verify chain of trust of OCSP response using Root CA and Intermediate certs
ssl_trusted_certificate /path/to/root_CA_cert_plus_intermediates.pem;

# replace with the IP address of your resolver
resolver 114.114.114.114;

替换 Responder 请替换 http://your-ocsp-server-name/ 为您实际使用证书的颁发机构的OCSP服务器地址。倘若您申请使用的是 Comodo 或 Sectigo 证书，您应该将此行修改为：

ssl_stapling_responder http://ocsp.sectigo.com/

作为中国大陆OCSP访问优化，可使用以下地址：

ssl_stapling_responder http://ocsp.sectigochina.com

替换证书链 为了能够帮助客户端校验您的OCSP响应，您还需要将 /path/to/root_CA_cert_plus_intermediates.pem 替换为您证书的实际证书链。证书链根据证书类型和颁发机构发生变化。您可以查看您获得的证书压缩包，并找到您的证书链代码。上传至证书链代码至服务器，并修改此配置路径至您的证书链。

重载Nginx 为了使您的配置文件生效，您需要重载（reload）您的Nginx或在维护期间重启您的Nginx服务。