grpc_ssl_verify
Директива `grpc_ssl_verify` настраивает, следует ли проверять SSL-сертификат gRPC-сервера при выполнении запросов. — NGINX HTTP Core
Описание
Директива `grpc_ssl_verify` используется в конфигурации сервера NGINX для управления процессом проверки SSL-сертификатов для бэкенд-серверов gRPC. Эта директива принимает флаговый аргумент, который указывает, должна ли выполняться проверка SSL-сертификата при выполнении gRPC-запросов. При установке в 'on' NGINX будет проверять SSL-сертификат, представленный upstream gRPC server, относительно сертификатов CA, настроенных в системе, что обеспечивает безопасное соединение и подтверждает подлинность сервера. Директива может располагаться в контекстах `http`, `server` или `location`, что позволяет гибко настраивать поведение в зависимости от иерархии запросов. Если проверка включена и сертификат сервера недействителен или не может быть подтвержден, NGINX откажется устанавливать соединение. Наоборот, установка директивы в 'off' отключает процесс проверки, что может быть полезно для тестирования, но представляет риск для безопасности в продуктивных средах, где возможны man-in-the-middle attacks. Учтите, что при включенном `grpc_ssl_verify` он опирается на сертификаты CA, доступные в сборке NGINX, которые можно настроить, указав директиву `ssl_trusted_certificate`. Поэтому правильная конфигурация доверенных сертификатов необходима для корректной работы этой директивы и обеспечения безопасной связи с gRPC-сервисами.
Пример конфига
location /api {
grpc_pass grpc://backend-grpc;
grpc_ssl_verify on;
}Убедитесь, что указали правильные CA certificates с помощью директивы `ssl_trusted_certificate` при включении проверки.
Отключение проверки ('off') может подвергнуть сервис рискам безопасности; используйте это только в доверенных окружениях.