Мой конфиг server {

listen 666 ssl;
proxy_socket_keepalive on;
proxy_ssl on;
ssl_certificate /etc/nginx/ssl/example.com.crt; #/etc/ssl/certificate.pem
ssl_certificate_key /etc/nginx/ssl/privatekey.key; #/etc/ssl/private-key.pem
ssl_trusted_certificate /etc/nginx/ssl/ca-bundle.trust.crt; #/etc/ssl/certs/ca-bundle.trust.crt #/etc/nginx/ssl/SectigoRSADomainValidationSecureServerCA.crt
ssl_protocols SSLv2 SSLv3 TLSv1 TLSv1.1 TLSv1.2 TLSv1.3;
proxy_pass TCP_666;
access_log /var/log/nginx/access.log main;

#так был сформирован ca-bundle.trust.crt
cat /home/username/crt/SectigoRSADomainValidationSecureServerCA.crt /home/username/crt/root.crt.cer /home/username/crt/example.com.crt >> /etc/nginx/ssl/ca-bundle.trust.crt

#так проверена «цепочка»
openssl verify -CAfile <(cat /home/username/crt/SectigoRSADomainValidationSecureServerCA.crt /home/username/crt/root.crt.cer) /home/username/crt/example.com.crt
/home/username/crt/example.com.crt: OK

Где я не прав?

проксипасс же вроде надо в локейшен оборачивать))

https://nginx.org/ru/docs/http/ngx_http_proxy_module.html#proxy_pass

ты что выпускаешь сам серты?, так и задумано?, почему не поспользоваться тем же летсом?

Зачем у вас вобще ssl_trusted_certificate ?

Вы точно знаете о чём говорите! Спасибо! ssl_stapling не используется. Эту секцию закомментил, но ошибки продолжаются. У меня в цепочке 3 сертификата. Я так понял, что они должны быть в выводе запроса, но у меня ошибки openssl s_client -connect example.ru:666 CONNECTED(00000004) depth=0 CN = example.ru verify error:num=20:unable to get local issuer certificate verify return:1 depth=0 CN = example.ru verify error:num=21:unable to verify the first certificate verify return:1 --- Certificate chain 0 s:CN = example.ru i:C = Country, ST = State, L = Location, O = organizationName, CN = commonName

Ну там же вроде написано четко - есть какой-то сертификат, но его нневозможно проверить, потому что он самодельный, видимо

Отлично. А если trusted_certificate не нужен, то куда же можно вставить всю цепочку сертификатов?

Спасибо Вам! Сертификат официальный. Дайте На`Водку какой тулзой могу проверить сертификат, чтобы выкатывать претензии в УЦ или осознать свою неправоту. Вот могу скачать сертификат так openssl s_client -showcerts -connect example.ru:443 </dev/null 2>/dev/null|openssl x509 -outform PEM >example.ru.pem какими ключами openssl проверить его (инициировать программный запрос в какой-либо УЦ, прописанный в системе)? В целях диагностики хочу это сделать

Если этот сертификат выдал CA - скорее всего с ним все ок. Просто, видимо, что-то не так настроено. Промежуточные сертификаты от CA есть? (там много букв сверху, я не осилил все)

поток сознания ...

Да. Промежуточные есть, не могу разобраться где их прописывать...

https://nginx.org/ru/docs/http/configuring_https_servers.html#chains

познания

в файл с сертификатом