nginxOCSPステープリングcentosを暗号化しましょう
CentOSについてですが、すべてのOSについて、Nginxでocspステープリングを機能させたいと思います。
ssl_stapling on;
ssl_trusted_certificate ??????;
ssl_stapling_verify on;
ssl_trusted_certificateには何を定義しますか?人々は「chain + rootfile」またはroot.caについて話しますが、これらのファイルがすでに私のサーバー上にあるかどうか、またはそれらをどこで見つけ/作成するかは私には非常に不明確です。
Let's Encryptからの有効な証明書があり、SSL/TLS(https)はすでに正常に機能しています。しかし、どうすればここから行くことができますか?
疑問に思っている人のために...
ssl_stapling on;
ssl_trusted_certificate /etc/letsencrypt/live/DOMAIN/chain.pem;
#ssl_stapling_verify on;
実際に機能することを確認しないことにより、ハッシュに注意してください。
コマンドラインで:openssl s_client -connect DOMAIN:443 -tls1 -tlsextdebug -status |grep OCSP -A 2 -B 1
OCSP response:
======================================
OCSP Response Data:
OCSP Response Status: successful (0x0)
Response Type: Basic OCSP Response
Version: 1 (0x0)
Responder Id: C = US, O = Let's Encrypt, CN = Let's Encrypt Authority X3