NGINX 的 ssl_trusted_certificate 应该写 ca 证书还是 fullchain 证书，为何 ssl_certificate 用的又是 fullchain 证书

V2EX = way to explore

V2EX 是一个关于分享和探索的地方

现在注册

已注册用户请登录

› NGINX

› NGINX Trac

› 3rd Party Modules

› Security Advisories

› CHANGES

› OpenResty

› ngx_lua

› Tengine

在线学习资源

› NGINX 开发从入门到精通

NGINX Modules

› ngx_echo

这是一个创建于 1675 天前的主题，其中的信息可能已经有所发展或是发生改变。

fullchain

证书

Nginx

ssl_certificate

5 条回复 • 2019-09-22 00:51:11 +08:00

Humorce

2019-09-21 21:42:40 +08:00

ssl_certificate : fullchain cert
ssl_trusted_certificate : ca cert

seers

2019-09-21 22:12:33 +08:00

@Humorce 能不能解释下原理，文档写的含糊不清，Thanks

Humorce

2019-09-21 22:20:13 +08:00

@seers #2
要从这往下看
http://nginx.org/en/docs/http/ngx_http_ssl_module.html#ssl_stapling

Humorce

2019-09-21 22:22:18 +08:00

@seers #2
具体如下：

Syntax: ssl_trusted_certificate file;
Default: —
Context: http, server
This directive appeared in version 1.3.7.

Specifies a file with trusted CA certificates in the PEM format used to verify client certificates and OCSP responses if ssl_stapling is enabled.

msg7086

2019-09-22 00:51:11 +08:00 via Android

trusted certificate 本来就是可信 ca 证书。这个证书必须是客户证书的上级，既然是上级，当然是 ca。fullchain 并没有什么用，因为 ca 的 ca 又不关认证。