Hello! On Sun, Mar 31, 2019 at 09:10:15PM +0300, sergio wrote:
> Вот тут > https://nginx.org/en/docs/http/ngx_http_ssl_module.html > написано: > > For the OCSP stapling to work, the certificate of the server certificate > issuer should be known. If the ssl_certificate file does not contain > intermediate certificates, the certificate of the server certificate > issuer should be present in the ssl_trusted_certificate file. > > For a resolution of the OCSP responder hostname, the resolver directive > should also be specified. > > И ещё: > > For verification to work, the certificate of the server certificate > issuer, the root certificate, and all intermediate certificates should > be configured as trusted using the ssl_trusted_certificate directive. > > По-этому я взял и сделал всё ровно наоборот: не стал указывать ни > resolver ни ssl_trusted_certificate. Включил только лишь: > ssl_stapling on; > ssl_stapling_verify on; > И мои сертификаты не содержат цепочки доверия, только лишь сам сертификат. > > 1. Почему ocsp работает и это не отражено в документации? > (я вижу OCSP Response Data в openssl s_client -connect hostname:443 > -tls1_2 -tlsextdebug -status) Если issuer'а нет ни в цепочке сертификатов в ssl_certificate, ни в доверенных сертификатах ssl_trusted_certificate (либо ssl_client_certificate, см. описания соответствующих директив), то OCSP stapling будет работать только при явном задании OCSP-ответа с помощью директивы ssl_stapling_file. Если же директива ssl_stapling_file не используется, и issuer certificate найти не получилось - на старте nginx ругнётся в лог на уровне warn словами "issuer certificate not found" и отключит stapling. > 2. Как вычисляются значения resolver и ssl_trusted_certificate, когда > они не указаны? Никак, с точностью до того, что если соответствующие директивы таки указаны на предыдущих уровнях - то будут, естветственно, использоватся значения, заданные на предыдущих уровнях. В случае, если resolver не указан, и при этом включён OCSP stapling - nginx будет пытаться использовать IP-адреса OCSP-сервера, полученные при старте, при каждом обращении к OCSP-серверу ругаясь в логи про "no resolver defined to resolve ..." на уровне warn. -- Maxim Dounin http://mdounin.ru/ _______________________________________________ nginx-ru mailing list nginx-ru@nginx.org http://mailman.nginx.org/mailman/listinfo/nginx-ru