在 centos 上,但我想對於每個作業系統,我想讓 ocsp 裝訂在 Nginx 中工作
ssl_stapling on;
ssl_trusted_certificate ??????;
ssl_stapling_verify on;
我定義什麼ssl_trusted_certificate?人們談論“鏈+根文件”或 root.ca,但我不清楚這些文件是否已經在我的伺服器上或在哪裡找到/創建它們。
我有 Let's Encrypt 的有效證書,並且 SSL/TLS (https) 已經工作正常。但我該如何離開這裡?
答案1
對於任何想知道的人...
ssl_stapling on;
ssl_trusted_certificate /etc/letsencrypt/live/DOMAIN/chain.pem;
#ssl_stapling_verify on;
請注意哈希值,無需驗證它是否確實有效:
在命令列上:
openssl s_client -connect DOMAIN:443 -tls1 -tlsextdebug -status |grep OCSP -A 2 -B 1
OCSP response:
======================================
OCSP Response Data:
OCSP Response Status: successful (0x0)
Response Type: Basic OCSP Response
Version: 1 (0x0)
Responder Id: C = US, O = Let's Encrypt, CN = Let's Encrypt Authority X3