proxy_ssl_trusted_certificate
Директива `proxy_ssl_trusted_certificate` указывает файл, содержащий доверенные сертификаты CA для проверки SSL-соединений с проксируемыми серверами. — NGINX HTTP Core
Описание
Директива `proxy_ssl_trusted_certificate` используется в NGINX для указания пути к файлу, содержащему доверенные сертификаты CA. Это особенно важно при установлении защищённого соединения с вышестоящими (upstream) серверами по SSL/TLS, поскольку директива позволяет клиенту проверять подлинность сертификата сервера. Указание этой директивы повышает безопасность проксируемых соединений, гарантируя, что они взаимодействуют только с доверенными серверами, что снижает риск атак man-in-the-middle. При настройке этой директивы NGINX будет загружать сертификаты из указанного файла при инициировании SSL-соединений с upstream-серверами. Важно, чтобы файл содержал только PEM-кодированные сертификаты CA. Если файл имеет неверный формат или не содержит необходимых сертификатов, NGINX может не установить SSL-соединение, что приведёт к ошибкам в вашем приложении. Директиву можно определить в блоках `http`, `server` или `location`, что делает её универсальной для разных областей конфигурации. Учтите, что после изменения списка доверенных сертификатов потребуется перезагрузить конфигурацию NGINX, чтобы применить изменения. У директивы нет значения по умолчанию, поэтому её необходимо явно задать для включения проверки SSL для проксируемых соединений.
Пример конфига
http {
proxy_ssl_trusted_certificate /etc/nginx/certs/ca.crt;
}Убедитесь, что файл сертификата существует и имеет правильный формат (PEM-encoded).
Будьте осторожны при использовании этой директивы в средах с высоким трафиком, поскольку она добавляет накладные расходы на проверки SSL.
Перезагрузите или перезапустите NGINX после обновления файла сертификата.