本文档介绍CDN加速服务提供的 OCSP 装订的功能。

什么是 OCSP 装订

OCSP 是在线证书状态协议，英文全称是 Online Certificate Status Protocol。在 TLS 握手阶段，客户端获取证书后会向该证书的 CA 机构查询该证书的状态。CA 机构会向客户端发送 OCSP 响应。

由于客户端在获得证书时就会向 CA 机构查询证书的状态，容易造成 CA 机构收到大量的查询请求。如果 CA 机构响应慢，会增加 TLS 握手的时间。为了避免这个问题，OCSP 装订就产生了。OCSP 装订允许服务器定期向 CA 机构查询证书状态并在服务器缓存该状态。当服务器向客户端发送证书时，会一起发送该证书的 OCSP 响应。OCSP 响应是经过 CA 机构签名的，不易被伪造。

OCSP 装订的优缺点

OCSP 装订极大降低了客户端向 CA 机构发送的查询请求，也降低了 TLS 的握手时间。缺点就是客户端获取到的证书状态不一定是最新的。但是可以通过配置服务器向 CA 机构查询证书的时间间隔来降低该缺点带来的影响。

启用 OCSP 装订

CDN加速服务提供 OCSP 装订的功能，可以提高 TLS 握手效率，提升用户体验。

前提条件

• 您已经添加域名到CDN加速服务。相关操作，请参见添加域名。
• 您已经为加速域名配置了证书。相关操作，请参见证书配置。

操作步骤

1. 登录多云CDN控制台。

2. 在左侧导航栏，单击 CDN加速。
3. 在CDN加速域名列表找到您的域名，单击域名名称。
4. 在域名页面，单击 HTTPS 配置 页签。
5. 在页面右上方，单击 编辑配置。
6. 在 OCSP 装订 区域，设置 状态 为启用。
7. 设置完成后， 在页面右上角单击 提交编辑。