NGINX OCSP сшивание Centos давайте зашифровать

На centos, но я думаю, что для каждой ОС я хочу, чтобы ocsp stapling работал в Nginx

ssl_stapling on;
ssl_trusted_certificate  ??????; 
ssl_stapling_verify on;

что я определяю для ssl_trusted_certificate? Люди говорят о "цепочке + корневой файл" или root.ca, но мне очень непонятно, находятся ли эти файлы на моем сервере или где их найти / создать.

У меня есть действующий сертификат от Let's Encrypt, и SSL/TLS (https) уже работает нормально. Но как мне идти отсюда?

1 ответ

Для тех, кто интересуется...

ssl_stapling on;
ssl_trusted_certificate  /etc/letsencrypt/live/DOMAIN/chain.pem;
#ssl_stapling_verify on;

обратите внимание на хэш, не проверяя, действительно ли он работает:

в командной строке:openssl s_client -connect DOMAIN:443 -tls1 -tlsextdebug -status |grep OCSP -A 2 -B 1

OCSP response:
======================================
OCSP Response Data:
    OCSP Response Status: successful (0x0)
    Response Type: Basic OCSP Response
    Version: 1 (0x0)
    Responder Id: C = US, O = Let's Encrypt, CN = Let's Encrypt Authority X3
Другие вопросы по тегам