proxy_ssl_crl
指令 `proxy_ssl_crl` 指定了用于在 SSL 代理连接中验证证书的证书撤销列表 (CRL) 文件。 — NGINX HTTP Core
proxy_ssl_crl
httpserverlocation
语法proxy_ssl_crl path;
默认值none
上下文http, server, location
模块NGINX HTTP Core
参数1
说明
在 NGINX 配置中,`proxy_ssl_crl` 指令用于指定包含证书撤销列表 (CRL) 的文件。该 CRL 对于建立安全的代理连接至关重要,尤其是在处理 SSL/TLS 证书时。它允许 NGINX 将服务器的 SSL 证书与撤销证书列表进行比对,从而通过阻止使用被妥协的证书来增强安全性。该指令接受一个参数,参数应为 CRL 的文件路径,且以 PEM 格式保存。\n\n该指令可以在 `http`、`server` 或 `location` 上下文中设置,因而对于不同层级的应用架构具有很强的灵活性。每当 NGINX 与被代理服务器建立 SSL 连接时,都会进行 SSL 证书验证过程。如果在 CRL 中发现服务器的证书,则连接会以错误终止,从而避免使用被撤销证书带来的潜在安全风险。
配置示例
location /api {
proxy_pass https://backend;
proxy_ssl_crl /etc/nginx/crl.pem;
}⚠
确保 CRL 文件定期更新,以避免使用过时的吊销数据。
⚠
文件路径必须为绝对路径;相对路径可能导致错误。
⚠
确保 CRL 文件采用正确的 PEM 格式。