В nginx сабж работает сам собой, а с хапроски приходится трахаться.
Добрый дядя написал скрипт, который всё должен делать сам, но что-то не работает: https://github.com/pierky/haproxy-ocsp-stapling-updater
Дано: wildard sha256 сертификат от Comodo.
Делаю вручную:
# openssl ocsp -issuer cert.issuer -cert cert.pem -host ocsp.comodoca.com:80 -respout resp.der
WARNING: no nonce in response
Response Verify Failure
140025804342952:error:27069076:OCSP routines:OCSP_basic_verify:signer certificate not found:ocsp_vfy.c:85:
cert.pem: good
This Update: Jun 28 01:03:47 2015 GMT
Next Update: Jul 2 01:03:47 2015 GMT
Далее толкаю его в haproxy:
# echo "set ssl ocsp-response $(base64 -w 10000 resp.der)" | socat stdio /var/run/haproxy-http.sock
OCSP single response: Certificate ID does not match any certificate or issuer.
Если же этот OCSP ответ положить под именем cert.pem.ocsp, то haproxy его всосёт при старте и всё работает пока тот не истечёт.
Куды копать. камрады?