ssl_client_certificate
Директива ssl_client_certificate указывает файл, содержащий доверенные сертификаты CA для проверки клиентских сертификатов. — NGINX HTTP Core
Описание
Директива ssl_client_certificate используется в конфигурации NGINX для указания пути к файлу, содержащему доверенные сертификаты Certificate Authority (CA) для проверки клиентских сертификатов при SSL/TLS соединениях. Эта директива обычно применяется в конфигурациях, требующих mutual TLS authentication, когда клиенты должны предъявить действительный сертификат, подписанный доверенным CA, чтобы установить соединение с сервером. Когда директива настроена, NGINX использует указанный список Certificate Authority (CA) для аутентификации клиентских сертификатов, предъявляемых во время SSL handshake. Процесс валидации проверяет, указан ли выпускающий CA клиентского сертификата в предоставленном файле. Если валидация проходит успешно, клиенту разрешается продолжить; в противном случае соединение может быть разорвано или могут применяться дополнительные действия в зависимости от других настроек. Важно убедиться, что указанный файл содержит действительные сертификаты CA и что установлены правильные права доступа, чтобы NGINX мог прочитать файл. Директиву можно задавать в контексте http или server, в соответствии с конкретными требованиями приложения. Учтите, что если необходимо доверять нескольким клиентским сертификатам, эта конфигурация может указывать на один файл, содержащий все необходимые сертификаты CA, обеспечивая бесшовную валидацию для нескольких клиентских идентичностей.
Пример конфига
server {
listen 443 ssl;
ssl_certificate /etc/nginx/ssl/server.crt;
ssl_certificate_key /etc/nginx/ssl/server.key;
ssl_client_certificate /etc/nginx/ssl/ca.crt;
ssl_verify_client on;
}Убедитесь, что путь к файлу сертификата указан правильно и доступен процессу NGINX.
Проверьте правильность прав доступа к файлу CA-сертификата.
Убедитесь, что SSL правильно настроен на сервере для использования этой директивы.