Ich versuche, OCSP-Stapling auf zwei Hosts mit nginx einzurichten
Beide Zertifikate haben unterschiedliche Aussteller:RapidsslUndAuftauen
Welches ist das Richtige fürAuftauen?
Welches ist das Richtige fürRapidssl?
Und zuletzt: Wie kann ich sie mit jedem Host-Zertifikat verifizieren?
openssl verify -verbose -CAfile /var/ini/ssl/ca-bundle/thawte-ca-certs.pem /var/ini/ssl/domain.com/public.crt
Und wenn ich den OpenSSL-Befehl ausführe: Mit welchem Zertifikat muss ich die Überprüfung durchführen? Mit dem öffentlichen Zertifikat, dem Zwischenzertifikat oder dem mit dem öffentlichen und dem Zwischenzertifikat gebündelten Zertifikat?
Antwort1
Um festzustellen, welches/welche Zwischenzertifikat(e) Sie benötigen, führen Sie den folgenden Befehl aus:
openssl x509 -in a.pem -text -noout|grep Issuer:
wo a.pemist dein Zertifikat?
Dann müssen Sie alle Zwischen- und Stammzertifikate abrufen. Sie können sie in einer Datei zusammenfassen oder in einem Verzeichnis ablegen.
In dem Befehl, den Sie oben ausführen
openssl verify -verbose -CAfile thawte-ca-certs.pem public.crt
Sie sollten in thawte-ca-certs.pemRoot- und anderen Zwischenzertifikaten die Gültigkeit vonpublic.crt