類似蘋果這種變態的生態要驗證OCSP，非常的艹蛋，白屏很難受，不然就只能買某些型別的證書，比如symantec之類。

然後let's encrypt 給的免費泛域名證書配上acme.sh還是很不錯的，基本上不用管，寫個定時任務定期restart一下nginx就行了。

可是問題是ocsp.int-x3.letsencrypt.org這個域名在國內非常的不穩定，總是要卡一下才出來，具體原因可以說很長一段了，現在來說如何解決；

首先nginx可以使用ocsp本地化來解決，也就是nginx直接在SSL握手的時候傳送ocsp來避免直接向ocsp.int-x3.letsencrypt.org傳送驗證請求；

下面就是開啟nginx ocsp的方法：

        # 開啟 OCSP Stapling ---當客戶端訪問時 NginX 將去指定的證書中查詢 OCSP 服務的地址，獲得響應內容後通過證書鏈下發給客戶端。
    	ssl_stapling on;
        # 開啟 OCSP Stapling file本地化，定期重新整理一下到本地，比resolve更快。
    	ssl_stapling_file /root/.acme.sh/domain.com/ocsp_sta.oscp;
    	# 啟用OCSP響應驗證，OCSP資訊響應適用的證書
    	ssl_stapling_verify on;
    	#若 ssl_certificate 指令指定了完整的證書鏈，則 ssl_trusted_certificate 可省略。
    	ssl_trusted_certificate /root/.acme.sh/domain.com/fullchain.cer; 

那麼問題來了ocsp檔案從哪裡來呢？

首先你的伺服器得有比較新的openssl，然後通過下面的指令獲取ocsp檔案

openssl ocsp -no_nonce -respout ocsp_sta.oscp -issuer ca.cer -cert domain.com.cer -url http://ocsp.int-x3.letsencrypt.org/ -header "HOST" "ocsp.int-x3.letsencrypt.org" -verify_other fullchain.cer

注意，-verify_other fullchain.cer 是一定要的，不然你會得到一個下面的錯誤：

Response Verify Failure
140255965575056:error:27069076:OCSP routines:OCSP_basic_verify:signer certificate not found:ocsp_vfy.c:92:

剩下就是寫指令碼定時更新oscp，定期restart nginx。

ps，ningx需要定期restart， reload是不行的。