新しい証明書をGoogle Chromeで使用できるようにOCSPステープル留めを実行するようにNGINXプロキシを設定しました。
また、NGINXでクライアント証明書の確認を設定しました。
ssl_crlモジュールを使用してCRLと比較してクライアント証明書を検証すると、NGINXはOCSPステープルを無効にし、Google Chromeで証明書の透明性エラーを引き起こします。
OCSPステープル留めとCRLを並べて使用するには?可能ですか?
私のNGINX構成では、関連する抜粋は次のとおりです。
# OCSP Stapling
ssl_stapling on;
ssl_stapling_verify on;
# Trusted Certs for OCSP Stapling and Client Cert Check
ssl_trusted_certificate /etc/nginx/certs/trustedCAs.pem;
# Server certificates
ssl_certificate /etc/nginx/certs/mycert.cer;
ssl_certificate_key /etc/nginx/certs/mycert.key;
ssl_password_file /etc/nginx/keys/cert-pw.pass;
# Verify Client Certificate
ssl_verify_client on;
ssl_verify_depth 2;
ssl_client_certificate /etc/nginx/certs/fullchain.pem;
ssl_crl /etc/nginx/certs/revoked.crl;