Вот тут
https://nginx.org/en/docs/http/ngx_http_ssl_module.html
написано:
For the OCSP stapling to work, the certificate of the server certificate
issuer should be known. If the ssl_certificate file does not contain
intermediate certificates, the certificate of the server certificate
issuer should be present in the ssl_trusted_certificate file.
For a resolution of the OCSP responder hostname, the resolver directive
should also be specified.
И ещё:
For verification to work, the certificate of the server certificate
issuer, the root certificate, and all intermediate certificates should
be configured as trusted using the ssl_trusted_certificate directive.
По-этому я взял и сделал всё ровно наоборот: не стал указывать ни
resolver ни ssl_trusted_certificate. Включил только лишь:
ssl_stapling on;
ssl_stapling_verify on;
И мои сертификаты не содержат цепочки доверия, только лишь сам сертификат.
1. Почему ocsp работает и это не отражено в документации?
(я вижу OCSP Response Data в openssl s_client -connect hostname:443
-tls1_2 -tlsextdebug -status)
2. Как вычисляются значения resolver и ssl_trusted_certificate, когда
они не указаны?
nginx 1.14.1-1~bpo9+1 stretch-backports
--
sergio.
_______________________________________________
nginx-ru mailing list
nginx-ru@nginx.org
http://mailman.nginx.org/mailman/listinfo/nginx-ru
