Согласно документы nginx, вы можете указать доверенные сертификаты для обе Ответ OCSP и проверка сертификата клиента:
ssl_trusted_certificate / ssl_client_certificate
Задает файл с доверенными сертификатами CA в формате PEM, который используется для проверки клиентских сертификатов и ответов OCSP, если ssl_stapling включен.
Есть ли способ доверять сертификату только для подписи OCSP, но не для клиентских сертификатов?