查看OSCP验证服务器地址：

在输出的文字中找到 OCSP - URI: ，后面的 URL 就是 OSCP 的验证服务器地址。

请求 OSCP 证书

不出意外会收到如下的结果

如果出现 403 错误，那就需要在 Header 请求头加上域名参数如 -header “HOST” “ocsp2.globalsign.com” ，没问题后就可以直接保存下来证书文件，完整的命令如下：

将保存下来的 stapling_file.ocsp 证书添加到 nginx 的配置中，如下，Nginx 中配置变成了这样子：

这样子重启 Nginx 后就会生效，可以使用下面的命令测试生效结果：

看到 OCSP Response Status: successful 这样的字样就是成功了。

ocsp证书有效期很短，大概不到一个月，所以过段时间要更新 ocsp 证书，不然还是会验证失败。需要用脚本定时更新OCSP证书。

总结：（全部优化参数）

参数详解：

ssl on  开启SSL

ssl_certificate  对应单张证书

ssl_certificate_key  对应私钥

ssl_trusted_certificate  对应信任链(即Startcom SSL或者Positive SSL中需要附加到单张证书后面的那两张证书，可以独立出来)

ssl_protocols  支持的SSL协议标准（nginx默认参数为：ssl_protocols SSLv3 TLSv1 TLSv1.1 TLSv1.2;）

ssl_ciphers  （nginx默认参数为：ssl_ciphers HIGH:!aNULL:!MD5;）

ssl_prefer_server_ciphers On;  指定服务器密码算法在优先于客户端密码算法时，使用SSLv3和TLS协议。

error_page 497 https://$host$request_uri;  通过497错误将http转跳到https