Existe uma maneira de fazer os certificados de grampos OCSP do Nginx
Eu testei o grampeamento OSCP e trabalhei em um servidor Ubuntu 16.04.1 executando o Nginx 1.11.4 e usando Extensão de recurso TLS Must-Staple OCSP da Certbot . Meu problema é que, ao recarregar ou reiniciar o Nginx, a resposta grampeada não é salva e o primeiro visitante vê uma página de erro (esse é o resultado esperado para os certs "deve grampear" ainda não grampeados pelo servidor).
Eu tenho que visitar cada site hospedado pelo servidor e recarregá-los algumas vezes enquanto o Nginx automagicamente OCSP grampeia os certificados, então tudo começa a funcionar novamente até a próxima reinicialização. Gostaria de automatizar este passo ou evitá-lo completamente.
Esse artigo explica uma maneira de fazer isso: link
A ideia é buscar manualmente a resposta do OCSP e usar a diretiva ssl_stapling_file.
link explica em detalhes:
URL=$(openssl x509 -in $SERVER_CER -text | grep “OCSP – URI:” | cut -d: -f2,3)
openssl ocsp -noverify -no_nonce -respout ocsp.resp -issuer \ $ISSUER_CER -cert $SERVER_CER -url $URL
Where “ocsp.resp” is whatever file you have configured in Nginx for the “ssl_stapling_file“.