ssl_trusted_certificate

Описание

Директива 'ssl_trusted_certificate' играет ключевую роль в настройках SSL/TLS в NGINX, указывая путь к одному или нескольким сертификатам центра сертификации (CA), которые используются для проверки клиентских сертификатов при взаимной TLS-аутентификации. При настройке NGINX загрузит эти доверенные сертификаты из указанных файлов и использует их для проверки подлинности клиентских сертификатов, представленных в ходе фазы SSL-рукопожатия. Эта директива особенно важна при использовании аутентификации клиентов, когда серверу необходимо убедиться, что клиентский сертификат выдан доверенным центром сертификации. Сертификаты, указанные в 'ssl_trusted_certificate', могут быть в формате PEM, что обеспечивает простую интеграцию с другими источниками доверенных сертификатов. Кроме того, если указан объединённый файл, он должен быть упорядочен так, чтобы сертификат корневого CA располагался первым, за ним следовали любые промежуточные сертификаты, что обеспечивает корректную проверку цепочки. Также следует учитывать, что если эта директива не задана или указанные файлы сертификатов не могут быть загружены, NGINX не сможет проверить клиентские сертификаты, что может представлять риск для безопасности. Поэтому крайне важно всегда правильно настраивать и проверять пути и права доступа к файлам сертификатов, используемым в этой директиве.

Пример конфига

server {
    listen 443 ssl;
    ssl_certificate /path/to/server.crt;
    ssl_certificate_key /path/to/server.key;
    ssl_trusted_certificate /path/to/ca.crt;
    ssl_client_certificate /path/to/client.crt;
    ssl_verify_client on;
}