proxy_ssl_verify
Директива `proxy_ssl_verify` управляет проверкой SSL-сертификата для проксируемых соединений. — NGINX HTTP Core
Описание
Директива `proxy_ssl_verify` используется в NGINX для указания того, должна ли выполняться проверка SSL-сертификата при установлении соединения с проксируемым сервером. Эта директива принимает аргумент-флаг, где 'on' включает проверку, а 'off' отключает её. По умолчанию, если директива не указана, проверка SSL отключена ('off'). Когда проверка включена, NGINX использует системные SSL-библиотеки для проверки действительности SSL-сертификата целевого сервера относительно доверенных центров сертификации (CAs). Этот шаг критически важен для приложений, которые полагаются на защищённые соединения, поскольку он гарантирует, что сертификат действителен и не был подделан или отозван, что защищает пользователей от атак типа 'man-in-the-middle'. При настройке этой директивы также важно учитывать цепочку доверия — путь от сертификата сервера к доверенному корневому центру сертификации. Если для проверки требуются промежуточные сертификаты CA, их следует предоставить в соответствующей конфигурации. Если проверка SSL не проходит, NGINX отклонит соединение с проксируемым сервером и запишет сообщение об ошибке в журнал, что позволит администраторам принять соответствующие меры. Поэтому при использовании `proxy_ssl_verify` в рабочей среде рекомендуется тщательно управлять SSL-сертификатами и их цепочками доверия.
Пример конфига
location /api {
proxy_pass https://backend-server;
proxy_ssl_verify on;
proxy_ssl_trusted_certificate /etc/ssl/certs/ca-certificates.crt;
}Убедитесь, что соответствующие CA certificates установлены и правильно настроены, чтобы SSL verification прошла успешно.
Если SSL verification не пройдёт, NGINX откажет в подключении, что может привести к сбоям в работе сервиса, если это не будет должным образом обработано.
Будьте осторожны при переключении с 'off' на 'on', чтобы избежать неожиданных сбоев в проверке. Всегда проверяйте сертификаты во время тестирования.