OCSP (Online Certificate Status Protocol) X.509 standartına uygun olarak üretilmiş sertifikaların iptal durumunda olup olmadığının anlık sorgulanmasını sağlayan protokoldur. Daha fazla bilgi için [1] linkine bakılabilir.

Nginx OCSP yapılandırılması aşağıdaki gibidir.

ssl_stapling on;
ssl_stapling_verify on;
ssl_trusted_certificate /etc/nginx/ssl/trust.crt;
resolver 8.8.8.8 8.8.4.4;

trust.crt sertifikasi RapidSSL Root Ca ile Intermediate sertifikasinin birleştirilmiş halidir.

RapidSSL Root CA sertifikasini indirmek icin; https://knowledge.rapidssl.com/support/ssl-certificate-support/index?page=content&actp=CROSSLINK&id=SO5761

RapidSSL Intermediate sertifikasini indirmek icin; https://knowledge.rapidssl.com/support/ssl-certificate-support/index?page=content&actp=CROSSLINK&id=INFO1548

sertifikalari indirdikten sonra aşağıdaki gibi birleştirme işlemini yapalım.

cat ca.txt intermediate.txt > trust.crt

sertifikamizi belirlemiş olduğumuz yere kopyalayıp nginx servisini yeniden başlatınız.

systemctl restart nginx.service

Bu işlemden sonra asağıdaki linkten doğruluğunu yapabilirsiniz. Ek olarak nginx/error.log ‘da eğer varsa hata görebilirsiniz.

https://cryptoreport.rapidssl.com/checker/views/certCheck.jsp

[1] https://en.wikipedia.org/wiki/Online_Certificate_Status_Protocol