grpc_ssl_crl
grpc_ssl_crl 指令指定 NGINX 中 gRPC SSL 连接使用的 Certificate Revocation List (CRL) 文件。 — NGINX HTTP Core
grpc_ssl_crl
httpserverlocation
语法grpc_ssl_crl path/to/crl.pem;
默认值none
上下文http, server, location
模块NGINX HTTP Core
参数1
说明
`grpc_ssl_crl` 指令用于 NGINX 配置中以指定 Certificate Revocation List (CRL) 文件,服务器在 gRPC 连接期间使用该文件来验证客户端 SSL 证书的有效性。这在确保通信通道安全方面尤为重要,因为它使服务器能够拒绝在到期日前已被吊销的证书。该指令可在 `http`、`server` 和 `location` 上下文中使用,便于在配置的不同部分范围内灵活设置。 当客户端尝试连接到服务器时,NGINX 将查阅指定的 CRL 文件,对客户端提供的证书进行检查。如果客户端的证书出现在 CRL 中,NGINX 将拒绝连接,从而通过确保被吊销的证书不能用于建立信任来增强安全性。必须保持 CRL 文件的更新以反映证书的当前状态,CRL 通常由管理签名和吊销的 Certificate Authority (CA) 提供。 该指令接受一个参数,指向 CRL 文件的路径,且必须与其他 SSL 指令(例如 `ssl_certificate` 和 `ssl_certificate_key`)配合使用,作为完整 gRPC SSL 配置的一部分。
配置示例
server {
listen 443 ssl;
ssl_certificate /etc/ssl/certs/server.crt;
ssl_certificate_key /etc/ssl/private/server.key;
grpc_ssl_crl /etc/ssl/crl/my_crl.pem;
}
⚠
确保 CRL 文件格式正确并且可被 NGINX 工作进程访问,否则在启动 NGINX 时可能导致错误。
⚠
如果 CRL 文件过大,可能在进行客户端连接检查时影响性能;请考虑其大小和更新频率。