Источник сертификатов для OCSP Stapling в Nginx?

Question

[Дмитрий Кинаш]

Получил сертификат для сайта от китайской компании WoSign по инструкции с Хабра. Там же была рекомендация для избегания длительных обращений за подтверждением сертификата в Китай настроить OCSP Stapling. За базу взял эту статью. Все ясно и понятно, кроме момента - от куда брать сертификат "root и промежуточный сертификат ЦС в формате PEM".

Имеется ли тут в виду обычная цепочка сертификатов ЦС, которая уже и так есть в полученном для сайта сертификате и уже используется в директиве ssl_certificate сервера? Т.е. достаточно ли из полученного бандла удалить сертификат PEM сайта и в таком виде использовать его в директиве ssl_trusted_certificate? Если это действительно так, то почему создатели NGinx сделали такой странный дублирующий механизм, а не используют данные, которые у них и так в наличии? Или тут все же нужны какие-то другие сертификаты?

Answer 1

[polozad]

Ну вот берём и читаем документацию:

Для работы OCSP stapling’а должен быть известен сертификат издателя сертификата сервера. Если в заданном директивой ssl_certificate файле не содержится промежуточных сертификатов, то сертификат издателя сертификата сервера следует поместить в файл, заданный директивой ssl_trusted_certificate.

Что не понятно-то? ssl_trusted_certificate используется только при включенном OCSP stapling. И только если корневых и промежуточных нет в ssl_certificate.