На centos, но я предполагаю, что для каждой ОС я хочу, чтобы сшивание ocsp работало в Nginx
ssl_stapling on;
ssl_trusted_certificate ??????;
ssl_stapling_verify on;
что я определяю для ssl_trusted_certificate
? Люди говорят о «цепочке + корневой файл» или root.ca, но мне очень непонятно, есть ли эти файлы уже на моем сервере или где их найти / создать.
У меня есть действующий сертификат от Let's Encrypt, и SSL / TLS (https) уже работает нормально. Но как мне отсюда уйти?
Для всех, кому интересно ...
ssl_stapling on;
ssl_trusted_certificate /etc/letsencrypt/live/DOMAIN/chain.pem;
#ssl_stapling_verify on;
обратите внимание на хеш, не имея проверки, что он действительно работает:
в командной строке: openssl s_client -connect DOMAIN:443 -tls1 -tlsextdebug -status |grep OCSP -A 2 -B 1
OCSP response:
======================================
OCSP Response Data:
OCSP Response Status: successful (0x0)
Response Type: Basic OCSP Response
Version: 1 (0x0)
Responder Id: C = US, O = Let's Encrypt, CN = Let's Encrypt Authority X3