ssl_verify_client

Описание

Директива `ssl_verify_client` используется в конфигурации NGINX для указания проверки SSL-сертификатов клиента во время SSL-рукопожатия. При включении эта директива заставит NGINX запросить у клиента сертификат и, в зависимости от значения `on`, `off` или `optional`, либо требовать подтверждения действительного сертификата, либо позволять клиенту продолжить работу, если он его не предоставляет. Это особенно полезно в сценариях с повышенными требованиями к безопасности, где используется mutual TLS (mTLS) для аутентификации клиентов на основе сертификатов. Директива принимает один аргумент: - `on`: Требует от клиента предоставления действительного сертификата, в противном случае происходит отказ. - `off`: Не запрашивает сертификат клиента и игнорирует сертификаты клиентов для целей аутентификации. - `optional`: Запрашивает сертификат клиента, но допускает доступ даже если клиент его не предоставил. Если сертификат клиента предоставлен, он будет проверен. Этот уровень контроля позволяет администраторам тонко настраивать политики безопасности для разных конечных точек в окружении сервера NGINX. Крайне важно сочетать использование этой директивы с правильно настроенными файлами CA и сертификатов, чтобы избежать уязвимостей безопасности и обеспечить корректную работу mTLS.

Пример конфига

server {
    listen 443 ssl;
    server_name example.com;

    ssl_certificate /etc/nginx/ssl/server.crt;
    ssl_certificate_key /etc/nginx/ssl/server.key;

    ssl_verify_client on;
    ssl_client_certificate /etc/nginx/ssl/ca.crt;
}