我设置了一个 NGINX 代理来执行 OCSP 装订,因此新证书可以在 google chrome 中使用。
我还在 NGINX 上设置了客户端证书检查。
当我使用 ssl_crl 模块根据 CRL 检查客户端证书时,NGINX 将禁用 OCSP 装订,并且我在 Google Chrome 中收到证书透明度错误。
如何并行使用 OCSP 装订和 CRL?这可能吗?
这是我的 NGINX 配置的相关摘录:
# OCSP Stapling
ssl_stapling on;
ssl_stapling_verify on;
# Trusted Certs for OCSP Stapling and Client Cert Check
ssl_trusted_certificate /etc/nginx/certs/trustedCAs.pem;
# Server certificates
ssl_certificate /etc/nginx/certs/mycert.cer;
ssl_certificate_key /etc/nginx/certs/mycert.key;
ssl_password_file /etc/nginx/keys/cert-pw.pass;
# Verify Client Certificate
ssl_verify_client on;
ssl_verify_depth 2;
ssl_client_certificate /etc/nginx/certs/fullchain.pem;
ssl_crl /etc/nginx/certs/revoked.crl;