CentOSでは、どのOSでも、OCSPステープルをNginxで動作させたいと考えています。
ssl_stapling on;
ssl_trusted_certificate ??????;
ssl_stapling_verify on;
何を定義すればいいですかssl_trusted_certificate? 「チェーン+ルート ファイル」または root.ca について話している人がいますが、これらのファイルがすでにサーバー上にあるかどうか、またはどこで見つけたり作成したりできるかが非常に不明です。
Let's Encrypt からの有効な証明書があり、SSL/TLS (https) はすでに正常に動作しています。しかし、ここからどうすればいいのでしょうか?
答え1
疑問に思っている人のために...
ssl_stapling on;
ssl_trusted_certificate /etc/letsencrypt/live/DOMAIN/chain.pem;
#ssl_stapling_verify on;
ハッシュに注意してください。検証がないため、実際に動作します。
コマンドラインで:
openssl s_client -connect DOMAIN:443 -tls1 -tlsextdebug -status |grep OCSP -A 2 -B 1
OCSP response:
======================================
OCSP Response Data:
OCSP Response Status: successful (0x0)
Response Type: Basic OCSP Response
Version: 1 (0x0)
Responder Id: C = US, O = Let's Encrypt, CN = Let's Encrypt Authority X3