A opção ssl_trusted_certificate deve apontar para o certificado raiz e todos os certificados intermediários da CA, não para o seu certificado assinado. Isso fica claro na documentação do NGINX aqui link . Para exemplos adicionais de configuração, consulte o link