centos에서는 모든 OS에 대해 Nginx에서 ocsp 스테이플링 작업을 수행하고 싶습니다.
ssl_stapling on;
ssl_trusted_certificate ??????;
ssl_stapling_verify on;
나는 무엇을 정의합니까 ssl_trusted_certificate? 사람들은 "체인+루트 파일" 또는 root.ca에 대해 이야기하지만 이러한 파일이 이미 내 서버에 있는지 또는 어디서 찾거나 생성할 수 있는지는 매우 불분명합니다.
Let's Encrypt의 유효한 인증서가 있고 SSL/TLS(https)가 이미 제대로 작동하고 있습니다. 그런데 여기서 어떻게 가나요?
답변1
궁금하신 분들을 위해...
ssl_stapling on;
ssl_trusted_certificate /etc/letsencrypt/live/DOMAIN/chain.pem;
#ssl_stapling_verify on;
실제로 작동하는지 확인하지 않고 해시를 기록해 두십시오.
명령줄에서:
openssl s_client -connect DOMAIN:443 -tls1 -tlsextdebug -status |grep OCSP -A 2 -B 1
OCSP response:
======================================
OCSP Response Data:
OCSP Response Status: successful (0x0)
Response Type: Basic OCSP Response
Version: 1 (0x0)
Responder Id: C = US, O = Let's Encrypt, CN = Let's Encrypt Authority X3