sxg_cert_path
Директива `sxg_cert_path` указывает путь к файлу, из которого будет обслуживаться сертификат, используемый в Signed HTTP Exchanges (SXG).
Описание
Директива sxg_cert_path определяет абсолютный путь в файловой системе, где будет храниться файл сертификата SXG. Этот путь имеет решающее значение для sxg_cert_url — URL, по которому будет подаваться сертификат в CBOR-формате. Если задано, NGINX автоматически сгенерирует сертификат в CBOR-формате из PEM-сертификата, указанного директивой sxg_certificate, и будет обновлять его по мере необходимости. Этот процесс требует, чтобы OCSP-ответчик для сертификата был доступен с сервера, что позволяет получать действительные OCSP-ответы для поддержания сертификата в актуальном состоянии.
При корректном развёртывании sxg_cert_path обеспечивает бесшовную интеграцию с другими директивами, связанными с SXG, расширяя возможности обслуживания подписанных обменов. Если не указан, sxg_cert_url будет отдавать устаревшие сертификаты или может не сработать, если сертификат невозможно предварительно сгенерировать. Эта директива необязательна, но её указание важно для динамической обработки сертификатов и настоятельно рекомендуется для продуктивных сред.
Пример конфига
server {
listen 80;
server_name example.com;
sxg_cert_path /etc/nginx/sxg/certificate.cbor;
sxg_certificate /etc/ssl/certs/my_certificate.pem;
sxg_certificate_key /etc/ssl/private/my_key.pem;
sxg_cert_url https://example.com/cert-chain+cbor;
sxg_validity_url https://example.com/validity.json;
sxg_enable on;
}Убедитесь, что указанный путь доступен для записи пользователю NGINX, иначе генерация или обновление сертификатов может завершиться неудачей.
OCSP-ответчик должен быть доступен; иначе сертификаты не будут корректно проверены, что может привести к сбоям при обслуживании SXGs.
Путь должен быть абсолютным; относительные пути приведут к неправильной конфигурации.