En centos, pero supongo que para todos los sistemas operativos, quiero que el grapado ocsp funcione en Nginx
ssl_stapling on;
ssl_trusted_certificate ??????;
ssl_stapling_verify on;
¿Para qué defino ssl_trusted_certificate? La gente habla de "cadena+archivo raíz" o root.ca, pero no tengo muy claro si estos archivos ya están en mi servidor o dónde encontrarlos o crearlos.
Tengo un certificado válido de Let's Encrypt y SSL/TLS (https) ya funciona bien. ¿Pero cómo hago desde aquí?
Respuesta1
Para cualquiera que se pregunte...
ssl_stapling on;
ssl_trusted_certificate /etc/letsencrypt/live/DOMAIN/chain.pem;
#ssl_stapling_verify on;
tenga en cuenta el hash, al no verificar que realmente funciona:
en la línea de comando:
openssl s_client -connect DOMAIN:443 -tls1 -tlsextdebug -status |grep OCSP -A 2 -B 1
OCSP response:
======================================
OCSP Response Data:
OCSP Response Status: successful (0x0)
Response Type: Basic OCSP Response
Version: 1 (0x0)
Responder Id: C = US, O = Let's Encrypt, CN = Let's Encrypt Authority X3