LINUX.ORG.RU
решено ФорумWeb-development

ssl_certificate vs. ssl_trusted_certificate

 , ,


0

3

Решил поиграться с OCSP stapling на Nginx и, не смотря на то, что судя по интернетам там всё просто, SSL test говорит, что у меня оно не взлетает.
Как я понимаю, дело в ssl_trusted_certificate, но не очень понятно что там должно быть и чем он отличается от ssl_certificate.
Лор, научи меня в сертификаты

★★★★★

Если я ничего не путаю то он должен как минимум указывать на сертификат твоего УЦ

itn ★★★
()
Ответ на: комментарий от itn

Сейчас там корневой сертификат и сертификат второго уровня, но видимо этого недостаточно

zolden ★★★★★
() автор топика 
ssl_trusted_certificate /etc/letsencrypt/live/YOUR_DOMAIN/chain.pem;
ssl_certificate /etc/letsencrypt/live/YOUR_DOMAIN/fullchain.pem;


Попробуй как-то так. В свое время тоже намучался, пока разобрался какие файлы подставлять. Дело именно в файлах, как нужные пропишешь, все заработает.

Vit ★★★★★
()
Ответ на: комментарий от zolden

Да так всё, без подвоха.
Сертификат выпускал с поддержкой степлинга?
OCSP Must Staple — ssllabs у сертификата должен показать Supported.

imul ★★★★★
()
Последнее исправление: imul (всего исправлений: 1)
Ответ на: комментарий от imul

Сертификат выпускал с поддержкой степлинга?

OH SHI, я думал по дефолту всё должно работать.
Вариант описанный выше я тоже пробовал - всегда получаю
«OCSP Must Staple No»

zolden ★★★★★
() автор топика
Ответ на: комментарий от zolden

Ты не сказал где сертификат делал.
Если у LE, то посмотри в конфиге у него, там должен быть крыжик.
Я не пользуюсь официальным, но в дегидратном конфиге написано так:
grep OCSP /etc/dehydrated/config
# Option to add CSR-flag indicating OCSP stapling to be mandatory (default: no)
OCSP_MUST_STAPLE=«yes»
То есть «no» по умолчанию.

imul ★★★★★
()
Ответ на: комментарий от imul

Сертификат от GlobalSign.

Option to add CSR-flag indicating OCSP stapling to be mandatory

Честно говоря не очень понятное описание.
Я бы предположил, что этот флаг говорит об обязательности, а не о поддержке

SSL checker от Comodo имеет два отдельных пункта
OCSP «Stapling» Not Supported
Must Staple? (TLS Feature) No

zolden ★★★★★
() автор топика
Последнее исправление: zolden (всего исправлений: 1)
Ответ на: комментарий от zolden

Я не силён в английской филологии. Требование степлинга можно убрать из конфига nginx. Но, скорее всего ты прав, а я нет. Сейчас ещё один сайт погоняю, там сертификат комодовский. PS: я просто исхожу из логики, что если у сертификата стоит флаг маст степл, то поддержка должна быть наверняка.

imul ★★★★★
()
Последнее исправление: imul (всего исправлений: 1)
Ответ на: комментарий от zolden

У моего комодовского
OCSP «Stapling» Supported
Must Staple? (TLS Feature) No
Степлинг работает.
Так что по первому пункту я угадал, а по второму соврал. Прошу прощения.

imul ★★★★★
()
Ответ на: комментарий от imul

Чот у меня со связностью до респондера началось, видимо в этом причина, пока буду чинить
OCSP responder timed out (110: Connection timed out) while requesting certificate status, responder: ocsp2.globalsign.com

zolden ★★★★★
() автор топика
Ответ на: комментарий от zolden

Слушай, вот честно, уже не помню. Мне даже показалось, что название не соответствует содержанию :). LetsEncrypt-овская утилита создает 4 файлика. Если пришлилишь имена так как сказал, все будет пучком. Подробности, к сожалению, не подскажу.

Vit ★★★★★
()
Ответ на: комментарий от Vit

В свое время тоже намучался, пока разобрался какие файлы подставлять

Вот тут инфа есть.

theNamelessOne ★★★★★
()
Последнее исправление: theNamelessOne (всего исправлений: 1)
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.
Web-development