grpc_ssl_crl
Директива grpc_ssl_crl указывает файл списка отозванных сертификатов (CRL) для gRPC SSL-соединений в NGINX. — NGINX HTTP Core
Описание
Директива `grpc_ssl_crl` используется в конфигурациях NGINX для указания файла списка отозванных сертификатов (CRL), который сервер использует для проверки действительности клиентских SSL-сертификатов при gRPC-соединениях. Это особенно важно для обеспечения защищённого канала связи, так как позволяет серверу отклонять сертификаты, отозванные до истечения срока их действия. Директива применима в контекстах `http`, `server` и `location`, что даёт гибкость в области применения настроек для разных частей конфигурации. Когда клиент пытается подключиться к серверу, NGINX обращается к указанному файлу CRL для проверки сертификатов, предъявляемых клиентом. Если сертификат клиента найден в CRL, NGINX отклонит подключение, повышая безопасность и не позволяя использовать отозванные сертификаты для установления доверия. Крайне важно поддерживать файл CRL в актуальном состоянии, чтобы он отражал текущий статус сертификатов; обычно его получают от удостоверяющего центра (CA), который управляет подписями и отзывами. Эта директива принимает один аргумент — путь к файлу CRL — и должна использоваться совместно с другими SSL-директивами, такими как `ssl_certificate` и `ssl_certificate_key`, как часть полной gRPC SSL-конфигурации.
Пример конфига
server {
listen 443 ssl;
ssl_certificate /etc/ssl/certs/server.crt;
ssl_certificate_key /etc/ssl/private/server.key;
grpc_ssl_crl /etc/ssl/crl/my_crl.pem;
}
Убедитесь, что файл CRL правильно отформатирован и доступен для рабочих процессов NGINX, иначе это может привести к ошибкам при запуске NGINX.
Если файл CRL слишком велик, это может повлиять на производительность при проверке подключений клиентов; учитывайте размер и частоту обновлений.