Назад | Перейти на главную страницу

nginx OCSP stapling centos давайте зашифруем

На centos, но я предполагаю, что для каждой ОС я хочу, чтобы сшивание ocsp работало в Nginx

ssl_stapling on;
ssl_trusted_certificate  ??????; 
ssl_stapling_verify on;

что я определяю для ssl_trusted_certificate? Люди говорят о «цепочке + корневой файл» или root.ca, но мне очень непонятно, есть ли эти файлы уже на моем сервере или где их найти / создать.

У меня есть действующий сертификат от Let's Encrypt, и SSL / TLS (https) уже работает нормально. Но как мне отсюда уйти?

Для всех, кому интересно ...

ssl_stapling on;
ssl_trusted_certificate  /etc/letsencrypt/live/DOMAIN/chain.pem;
#ssl_stapling_verify on;

обратите внимание на хеш, не имея проверки, что он действительно работает:

в командной строке: openssl s_client -connect DOMAIN:443 -tls1 -tlsextdebug -status |grep OCSP -A 2 -B 1

OCSP response:
======================================
OCSP Response Data:
    OCSP Response Status: successful (0x0)
    Response Type: Basic OCSP Response
    Version: 1 (0x0)
    Responder Id: C = US, O = Let's Encrypt, CN = Let's Encrypt Authority X3