OCSP stapling in Nginx >=1.3.7
Gena Makhomed
gmm на csdoc.com
Чт Сен 6 15:26:25 UTC 2018
Здравствуйте, All!
Если с помощью Let's Encrypt сделать SSL-сертификат
для домена,например, example.com то в файле
/etc/letsencrypt/live/example.com/README
будет такая информация:
`chain.pem` : used for OCSP stapling in Nginx >=1.3.7.
Чтобы nginx использовал файл chain.pem для OCSP stapling
необходимо прописать в конфиге
ssl_certificate /etc/letsencrypt/live/example.com/fullchain.pem;
ssl_certificate_key /etc/letsencrypt/live/example.com/privkey.pem;
ssl_trusted_certificate /etc/letsencrypt/live/example.com/chain.pem;
ssl_stapling on;
ssl_stapling_verify on;
resolver 8.8.8.8 1.1.1.1 9.9.9.9 ipv6=off;
я правильно понимаю?
Смущает тот факт, что если закомментировать
в конфиге директиву ssl_trusted_certificate
- никаких предупреждений не выводится во время
тестирования конфигурации и никаких сообщений
не пишется в лог во время systemctl reload nginx
Насколько я понимаю, ssl_stapling_verify on
следует включать всегда, потому что общение
с OCSP сервером происходит по протоколу HTTP?
По крайней мере, в самом сертификате написано:
OCSP: URI: http://ocsp.int-x3.letsencrypt.org
--
Best regards,
Gena
Подробная информация о списке рассылки nginx-ru