如何为双栈RSA + ECC证书构建OCSP证书链

Question

Nginx允许我们使用多个证书，这样我们就可以同时使用ECC和RSA证书。

ssl_certificate /etc/ssl/example.com.combined.crt;
ssl_certificate_key /etc/ssl/example.com.key;
ssl_certificate /etc/ssl/example.com-ecc.combined.crt;
ssl_certificate_key /etc/ssl/example.com-ecc.key;

但是，它只允许我们指定一个可用于OCSP装订的可信证书：

ssl_trusted_certificate /etc/ssl/ocsp-bundle-rsa-ecc.crt;

显然，我们需要给它提供中间和根证书的两个链，但是我找不到任何文档来说明它是否被支持，或者这些证书的顺序应该是什么，即它是否应该是：

• intermediate1
• root1
• intermediate2
• root2

或

• intermediate1
• intermediate2
• root1
• root2

或者，如果它们需要共享一个根(一些ECC证书使用RSA根签名)：

• intermediate1
• intermediate2
• 根部

或者仅仅是不可能在nginx中使用双格式证书执行OCSP。

如何构造这个证书包？

Answer 1

我做了一个快速的研究，这似乎是“你不构建它”的最简单的答案，它只会起作用:)

OSCP装订可以很好的工作没有ssl_trusted certificate，只要..。

• 您的操作系统信任根CA存储是最新的(想想ca-certificates in RedHat)
• 你有ssl_stapling on;和ssl_stapling_verify on;
• 您的每个证书(基于ECC和RSA )都包含完整的链，根CA除外。

nginx医生很清楚只有..。

如果ssl_certificate文件不包含中间证书，则服务器证书颁发者的证书应出现在ssl_trusted_certificate文件中。

实际上，您可以在SSL实验室测试中检查您的产品以确认这一点-- OSCP装订在没有ssl_trusted_certificate的情况下确实工作得很好。

因此，如果您只需确保将证书本身及其中间证书放置在ssl_certificate中定义的文件中，并在您的系统中拥有最新的根CA，那么双证书就可以工作。