Задать вопрос
@Dementor
программист, архитектор, аналитик

Источник сертификатов для OCSP Stapling в Nginx?

Получил сертификат для сайта от китайской компании WoSign по инструкции с Хабра. Там же была рекомендация для избегания длительных обращений за подтверждением сертификата в Китай настроить OCSP Stapling. За базу взял эту статью. Все ясно и понятно, кроме момента - от куда брать сертификат "root и промежуточный сертификат ЦС в формате PEM".

Имеется ли тут в виду обычная цепочка сертификатов ЦС, которая уже и так есть в полученном для сайта сертификате и уже используется в директиве ssl_certificate сервера? Т.е. достаточно ли из полученного бандла удалить сертификат PEM сайта и в таком виде использовать его в директиве ssl_trusted_certificate? Если это действительно так, то почему создатели NGinx сделали такой странный дублирующий механизм, а не используют данные, которые у них и так в наличии? Или тут все же нужны какие-то другие сертификаты?
  • Вопрос задан
  • 951 просмотр
Подписаться 1 Оценить Комментировать
Решения вопроса 1
@polozad
Ну вот берём и читаем документацию:

Для работы OCSP stapling’а должен быть известен сертификат издателя сертификата сервера. Если в заданном директивой ssl_certificate файле не содержится промежуточных сертификатов, то сертификат издателя сертификата сервера следует поместить в файл, заданный директивой ssl_trusted_certificate.


Что не понятно-то? ssl_trusted_certificate используется только при включенном OCSP stapling. И только если корневых и промежуточных нет в ssl_certificate.
Ответ написан
Комментировать
Пригласить эксперта
Ваш ответ на вопрос

Войдите, чтобы написать ответ

Похожие вопросы