Isso funcionou:
Os 2 certificados fornecidos pela RapidSSL como a "cadeia de certificados" foram removidos do arquivo CA (declarado em nginx config como ssl_client_certificate
) e anexados ao arquivo de certificado (declarado como ssl_certificate
).
Por outras palavras, a configuração final é semelhante a:
ssl_certificate /etc/nginx/ssl/artsyapi.com/crt; # original cert plus 2 from chain
ssl_certificate_key /etc/nginx/ssl/artsyapi.com.key; # key (unchanged)
ssl_client_certificate /etc/nginx/ssl/artsyapi.com.ca; # now empty