CentOSでもh2oでOCSP Staplingしたい - (ひ)メモh2o/1.5.2です。 (たいていそうだと思いますが)中間CAから発行されたサーバー証明書の場合は、h2oではcertificate-fileで指定するファイルの内容を サーバー証明書 中間CAの証明書 という順序でcatで結合したものにします。順序があるので注意してください。参考: スマートフォン等、携帯端末の一部のみ「証明書が信頼できない」と警告が表示されます | Symantec さて、h2oは起動時にOCSPレスポンダからレスポンスを得て、それのverifyが成功すればOCSP Staplingを有効にします。 具体的には、share/h2o/fetch-ocsp-response の中でopensslコマンドを使ってこの様にしています。 # certificate-fileで指定されたサーバー証明書からOCSPレスポンダのURIを得る openssl x509 -in $cer
