De acordo com os documentos nginx , você pode especificar certificados confiáveis para ambos Resposta do OCSP e verificação do certificado do cliente:
ssl_trusted_certificate / ssl_client_certificate
Specifies a file with trusted CA certificates in the PEM format used to verify client certificates and OCSP responses if ssl_stapling is enabled.
Existe uma maneira de confiar em um certificado somente para assinatura OCSP, mas não para certificados de cliente?