ssl_stapling_file
Директива `ssl_stapling_file` указывает имя файла ответа OCSP, который будет использоваться для SSL stapling.
Описание
Директива ssl_stapling_file в NGINX служит для включения OCSP (Online Certificate Status Protocol) stapling путём указания конкретного файла, содержащего ответ OCSP. Эта директива может быть размещена в контекстах http или server, что позволяет задавать поведение для всех виртуальных серверов или для отдельных серверов в соответствии с конфигурацией. Подавая файл с ответом OCSP, NGINX может прикреплять этот ответ к TLS-рукопожатиям, повышая производительность SSL-подключений за счёт уменьшения числа онлайн-проверок, которые необходимо выполнять.
Параметр директивы ssl_stapling_file — одиночный аргумент, представляющий путь к файлу, содержащему сериализованные данные ответа OCSP. Этот файл должен быть сгенерирован CA (Certificate Authority) или другим доверенным посредником и регулярно обновляться, поскольку ответы OCSP обычно имеют срок действия. Важно следить за актуальностью ответа OCSP, чтобы клиенты могли эффективно проверять статус сертификата во время TLS-сессий. Если путь к файлу указан неверно или содержимое недействительно, NGINX запишет сообщение об ошибке и отключит OCSP stapling для этого сервера.
Пример конфига
server {
listen 443 ssl;
ssl_certificate /path/to/certificate.pem;
ssl_certificate_key /path/to/key.pem;
ssl_stapling on;
ssl_stapling_file /path/to/ocsp_response.der;
}Убедитесь, что файл ответа OCSP регулярно обновляется; устаревшие ответы могут привести к тому, что клиенты отвергнут соединение.
Файл должен иметь правильные права доступа, чтобы NGINX мог его прочитать; в противном случае NGINX не сможет загрузить данные OCSP и отключит stapling.
Убедитесь, что файл ответа корректно отформатирован в соответствии со спецификацией OCSP. Неправильный формат может привести к ошибкам при разборе.