在启用 IIS SNI 的站点上启用 OCSP 装订

根据 Microsoft 的说法，由于潜在的性能问题，默认情况下禁用此行为。

要为 SNI 和 CCS 绑定启用 OCSP 装订，请找到以下注册表子项："EnableOcspStaplingForSni"=dword:00000001在 注册表路径下：[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL]

Powershell 片段：

New-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\" -Name "EnableOcspStaplingForSni" -PropertyType DWord -Value 1

Microsoft 参考文章，该文章涉及 windows 2012 服务器，我对此进行了测试，它仍然适用于 2016 年。

OCSP 装订

在线证书状态协议 (OCSP) 装订使 Web 服务器（例如 Internet 信息服务 (IIS)）能够在 TLS 握手期间向客户端发送服务器证书时提供服务器证书的当前吊销状态。此功能减少了 OCSP 服务器的负载，因为 Web 服务器可以缓存服务器证书的当前 OCSP 状态并将其发送到多个 Web 客户端。如果没有此功能，每个 Web 客户端都会尝试从 OCSP 服务器检索服务器证书的当前 OCSP 状态。这将在该 OCSP 服务器上产生高负载。

默认情况下，对具有简单安全 (SSL/TLS) 绑定的 IIS 网站启用 OCSP 支持。但是，如果 IIS 网站使用以下类型的安全 (SSL/TLS) 绑定中的一种或两种，则默认情况下不启用此支持：

• 需要服务器名称指示

• 使用集中式证书存储

在这种情况下，TLS 握手期间的服务器 hello 响应默认不会包含 OCSP 装订状态。此行为提高了性能：Windows OCSP 装订实现可扩展到数百个服务器证书。由于 SNI 和 CCS 使 IIS 能够扩展到可能具有数千个服务器证书的数千个网站，因此将此行为设置为默认启用可能会导致性能问题。

注意启用此注册表项具有潜在的性能影响。

EnableOcspStaplingForSni在下创建一个 DWORD reg 值HKLM\System\CurrentControlSet\Control\SecurityProviders\Schannel\并将其设置为非零值。