Auf CentOS, aber ich denke für jedes Betriebssystem, möchte ich OCSP-Stapling in Nginx zum Laufen bringen
ssl_stapling on;
ssl_trusted_certificate ??????;
ssl_stapling_verify on;
was definiere ich ssl_trusted_certificate? Die Leute sprechen von „chain+root file“ oder root.ca, aber mir ist völlig unklar, ob sich diese Dateien bereits auf meinem Server befinden oder wo ich sie finden/erstellen kann.
Ich habe ein gültiges Zertifikat von Let’s Encrypt und SSL/TLS (https) funktioniert bereits einwandfrei. Aber wie gehe ich jetzt weiter?
Antwort1
Für alle, die sich das fragen …
ssl_stapling on;
ssl_trusted_certificate /etc/letsencrypt/live/DOMAIN/chain.pem;
#ssl_stapling_verify on;
Beachten Sie den Hash, da es keine Überprüfung gibt, ob es tatsächlich funktioniert:
auf der Kommandozeile:
openssl s_client -connect DOMAIN:443 -tls1 -tlsextdebug -status |grep OCSP -A 2 -B 1
OCSP response:
======================================
OCSP Response Data:
OCSP Response Status: successful (0x0)
Response Type: Basic OCSP Response
Version: 1 (0x0)
Responder Id: C = US, O = Let's Encrypt, CN = Let's Encrypt Authority X3