На CentOS, но, полагаю, для каждой ОС, я хочу, чтобы ocsp-сшивание работало в Nginx
ssl_stapling on;
ssl_trusted_certificate ??????;
ssl_stapling_verify on;
что мне определить для ssl_trusted_certificate? Люди говорят о "chain+root file" или root.ca, но мне совершенно неясно, есть ли эти файлы уже на моем сервере или где их найти/создать.
У меня есть действительный сертификат от Let's Encrypt и SSL/TLS (https) уже работает нормально. Но что делать дальше?
решение1
Для тех, кому интересно...
ssl_stapling on;
ssl_trusted_certificate /etc/letsencrypt/live/DOMAIN/chain.pem;
#ssl_stapling_verify on;
обратите внимание на хэш, без проверки он на самом деле работает:
в командной строке:
openssl s_client -connect DOMAIN:443 -tls1 -tlsextdebug -status |grep OCSP -A 2 -B 1
OCSP response:
======================================
OCSP Response Data:
OCSP Response Status: successful (0x0)
Response Type: Basic OCSP Response
Version: 1 (0x0)
Responder Id: C = US, O = Let's Encrypt, CN = Let's Encrypt Authority X3