nginx配置Let’s Encrypt证书

使用mozilla的ssl配置生成器(https://mozilla.github.io/ser...生成了一个nignx的配置,
其中有三项证书相关的项要填写,如下:

ssl_certificate /path/to/signed_cert_plus_intermediates;
ssl_certificate_key /path/to/private_key;
ssl_trusted_certificate /path/to/root_CA_cert_plus_intermediates;

使用certbot(https://github.com/certbot/ce...申请Let’s Encrypt证书,上面三个配置项,第3项ssl_trusted_certificate好像没有,在哪里去找这个ssl_trusted_certificate

回复
阅读 9.3k
2 个回答

ssl_trusted_certificate,可忽略。如果要添加的话,可以使用同ssl_certificate相同的证书文件。

ssl_trusted_certificate,包含PEM格式的可信CA证书列表(顺序是子证书在上、父证书在下),用于在开启ssl_stapling时验证客户端证书和OCSP Response.

如果证书颁发者的OCSP服务返回的OCSP Response包含了 Certificate 信息,并且 Nginx 配置了 ssl_stapling_verify on,那么需要确保正确配置了ssl_trusted_certificate参数,否则OCSP Stapling无法生效.

但Let's Encrypt 的 OCSP 服务并不会返回 Certificate,所以如果你使用 Let's Encrypt 证书,开启 OCSP Stapling 也无需配置ssl_stapling_verifyssl_trusted_certificate.

这里有如何检查OCSP Response是否包含Certificate信息的方法.

撰写回答
你尚未登录,登录后可以
  • 和开发者交流问题的细节
  • 关注并接收问题和回答的更新提醒
  • 参与内容的编辑和改进,让解决方法与时俱进
推荐问题
宣传栏