使用mozilla的ssl配置生成器(https://mozilla.github.io/ser...生成了一个nignx的配置,
其中有三项证书相关的项要填写,如下:
极客观点
项目管理
HarmonyOS
ssl_certificate /path/to/signed_cert_plus_intermediates;
ssl_certificate_key /path/to/private_key;
ssl_trusted_certificate /path/to/root_CA_cert_plus_intermediates;使用certbot(https://github.com/certbot/ce...申请Let’s Encrypt证书,上面三个配置项,第3项ssl_trusted_certificate好像没有,在哪里去找这个ssl_trusted_certificate?
ssl_trusted_certificate,包含PEM格式的可信CA证书列表(顺序是子证书在上、父证书在下),用于在开启ssl_stapling时验证客户端证书和OCSP Response.
如果证书颁发者的OCSP服务返回的OCSP Response包含了 Certificate 信息,并且 Nginx 配置了 ssl_stapling_verify on,那么需要确保正确配置了ssl_trusted_certificate参数,否则OCSP Stapling无法生效.
但Let's Encrypt 的 OCSP 服务并不会返回 Certificate,所以如果你使用 Let's Encrypt 证书,开启 OCSP Stapling 也无需配置ssl_stapling_verify和ssl_trusted_certificate.
15 回答8.1k 阅读
2 回答2.4k 阅读✓ 已解决
1 回答1.8k 阅读✓ 已解决
1 回答1.1k 阅读✓ 已解决
3 回答927 阅读
1 回答788 阅读
552 阅读
ssl_trusted_certificate,可忽略。如果要添加的话,可以使用同ssl_certificate相同的证书文件。