为什么在没有明确根声明的情况下，NGINX 上“buypass”DV 证书的 OCSP 绑定会失败？

总结

对于 certbot 获取的 buypass DV 证书，我需要明确告诉 NGINX 信任 buypass 根证书以启用 OCSP 装订。但 Let's Encrypt 证书并非如此，我不明白为什么。我找到了一种方法（见下文），它看起来更像是一种变通方法，而不是可靠的解决方案。所以我想知道我在这里做错了什么吗？

---

细节

我注意到 buypass.com DV 证书（转到 SSL）通过 ACME 协议获取（通过certbot）NGINX 无法提供开箱即用的 OCSP，即使这种配置与 Let's Encrypt 证书完美配合：

ssl_stapling on;
ssl_stapling_verify on;
ssl_certificate /etc/letsencrypt/live/example.com/fullchain.pem; # managed by Certbot
ssl_certificate_key /etc/letsencrypt/live/example.com/privkey.pem; # managed by Certbot

我需要生成一个包含根证书的新链（Buypass_Class_2_Root_CA.pem）：

cp /etc/letsencrypt/live/example.com/
cat /etc/ssl/certs/Buypass_Class_2_Root_CA.pem fullchain.pem > ocsp-chain.pem

并明确指示 NGINX 信任此链：

ssl_trusted_certificate /etc/letsencrypt/live/example.com/ocsp-chain.pem;

让我更困惑的是，我不需要为 Let's Encrypt 证书执行此操作，而且 NGINX 设法提供了绑定的 OCSP没有必须生成额外的ocsp-chain.pem。

---

更多详细信息（更新）

关于生成的信任链的一些澄清certbot：

对于 Buypass：

/--------- fullchain.pem ---------\    /--- /etc/ssl/certs --\
example.com -> Buypass_Class_2_CA_5 -> Buypass_Class_2_Root_CA
               \---- chain.pem ---/

对于 Let's Encrypt：

/--------- fullchain.pem --------\    / /etc/ssl/certs \
example.com -> Lets_Encrypt_R3.pem -> DST_Root_CA_X3.pem
               \---- chain.pem ---/

如果我运行以下命令：

cd /etc/letsencrypt/live/example.com
# $OSCP_URL is:
#   * Let's Encrypt: http://r3.o.lencr.org
#   * Buypass:       http://ocsp.buypass.com
openssl ocsp -issuer chain.pem -cert fullchain.pem -url "${OCSP_URL}"

我明白了Response verify OK。尽管如此，尽管nginx 用途openssl在信任所有锚点的引擎盖下/etc/ssl/certs（在我的情况下/usr/lib/ssl/certs -> /etc/ssl/certs），如果没有上述解决方法，它将无法验证 OCSP：

2611#2611: OCSP_basic_verify() failed (SSL: error:27069065:OCSP routines:OCSP_basic_verify:certificate verify error:Verify error:unable to get issuer certificate) while requesting certificate status, responder: ocsp.buypass.com, peer: 23.55.161.57:80, certificate: "/etc/letsencrypt/live/example.com/fullchain.pem"