一、准备创建需要的环境

1.1 创建环境简介

Linux或windows服务器一台；

安装有Apache2.2.*（自带有Openssl）或有单独安装Openssl工具以上版本；

SSL证书一张（备注：根据自己申请到的证书使用,通用其它版本证书）。

1.2网络环境要求

请确保站点是一个合法的外网可以访问的域名地址，可以正常通过或http：//XXX进行正常访问。

二、请求OCSP创建证书

2.1获取SSl证书

成功在沃通申请证书后，会得到一个有密码的压缩包文件，输入证书密码后解压得到五个文件：for Apache、for IIS、for Ngnix、for Tomcat、for Other Server，这个是证书的几种格式，例如：我们拿 for other Server 的格式来创建。

2.2证书文件

解压for other server文件可以看到5个文件。包括公钥、私钥和各级证书链，如图：

2.3创建OCSP文件

1、打开Openssl安装目录下bin目录然后把3_user_domain.crt 和 2_issuer_Intermediate.crt文件拷贝到目录（这里可以根据文件路径自定义）中。

2、双击打开3_user_domain.crt公钥文件，点击详细信息，找到字段：“颁发机构信息访问”查看下面的数值如：URL=http://ocsp1.wosign.com/ca6/server1 （注意：此url路径会根据不同产品类型证书而定义的路径不同）

3、通过DOS下命令切换到Openssl的bin目录下，如：（此处为测试路径，可根据自己路径调整）命令如下：

openssl ocsp -noverify -issuer 2_issuer_Intermediate.crt(中级证书) -cert 3_user_ims.cn.crt(用户证书) -url

http://ocsp1.wosign.com(证书详细信息里面的ocsp链接) -text -respout./stapling_file.ocsp

注：-issuer：中级根证书。

-cert：用户证书。

-url：ocsp访问地址。

-text -respout：做为输入ocsp文件。（路径自定义）

附加：经过进一步测试，客户如果出现此问题（“The OpenSSL command doesn't support HTTP 1.1”）的 原因跟客户使用的openssl命令有关系，那么可以在命令中增加一个 header（-header "HOST" "ocsp.startssl.com"）即可。

可将命令改成如下：

Openssl ocsp -issuer 2_issuer_Intermediate.crt -cert 3_user_domain.crt -url

http://ocsp1.wosign.com(证书详细信息里面的ocsp链接) -header “HOST” “ocsp1.wosign.com” -text -respout./stapling_file.ocsp

输入相应命令后正常情况会输出下列数据 如下：

最终可以到存放Ocsp的路径下看到此文件：如下

以上就创建完成了Ocsp文件

2.4配置Ocsp文件

我们用Nginx来做实例操作

将保存下来的 stapling_ocsp 证书添加到 Nginx 的配置中，如下，Nginx 中配置变成了 如下：（加入参数）

ssl_stapling on;

Ssl_stapling_verify on;

ssl_stapling_file /stapling_ocsp;（路径可自定义）

ssl_trusted_certificate /2_issuer_Intermediate.crt;（路径可自定义）

这样子重启 Nginx 后就会生效，可以使用下面的命令测试生效结果：

2.5测试生效结果

Openssl s_client -connect s.wosign.com:443 -status –Cafile 2_issuer_Intermediate.crt

看到OCSP Response Status: successful

这样的字样就是成功了。