На centos, но я предполагаю, что для каждой ОС я хочу, чтобы сшивание ocsp работало в Nginx
ssl_stapling on;
ssl_trusted_certificate ??????;
ssl_stapling_verify on;
, что я определяю для ssl_trusted_certificate
?
Люди говорят о «цепочке + корневой файл» или root.ca, но мне очень непонятно, есть ли эти файлы уже на моем сервере или где их найти / создать.
У меня есть действующий сертификат от Let's Encrypt и SSL / TLS (https) уже работает нормально. Но как мне отсюда уйти?
Для тех, кому интересно ...
ssl_stapling on;
ssl_trusted_certificate /etc/letsencrypt/live/DOMAIN/chain.pem;
#ssl_stapling_verify on;
обратите внимание на хэш, не имея проверки, что он действительно работает:
на командная строка:
openssl s_client -connect ДОМЕН: 443 -tls1 -tlsextdebug -status | grep OCSP -A 2 -B 1
OCSP response:
======================================
OCSP Response Data:
OCSP Response Status: successful (0x0)
Response Type: Basic OCSP Response
Version: 1 (0x0)
Responder Id: C = US, O = Let's Encrypt, CN = Let's Encrypt Authority X3