proxy_ssl_trusted_certificate
该 `proxy_ssl_trusted_certificate` 指令指定一个文件,该文件包含用于验证与被代理服务器的 SSL 连接的受信任 CA 证书。 — NGINX HTTP Core
proxy_ssl_trusted_certificate
httpserverlocation
语法proxy_ssl_trusted_certificate file;
默认值none
上下文http, server, location
模块NGINX HTTP Core
参数1
说明
`proxy_ssl_trusted_certificate` 指令在 NGINX 中用于设置包含受信任的证书颁发机构 (CA) 证书的文件路径。在通过 SSL/TLS 与上游服务器建立安全连接时,这一点尤其重要,因为它确保证书的客户端可以验证服务器证书的真实性。通过指定此指令,可以增强代理连接的安全性,确保它们仅与受信任的服务器通信,从而降低中间人攻击的风险。 当您配置此指令时,NGINX 在向上游服务器发起 SSL 连接时会加载文件中指定的证书。重要的是该文件只包含 PEM-encoded 的 CA 证书。如果该文件格式不正确或不包含所需的证书,NGINX 可能无法建立 SSL 连接,从而导致应用出现错误。此指令可以在 `http`、`server` 或 `location` 块中定义,因此适用于配置的不同作用域。 请记住,在修改受信任证书后,您需要重新加载 NGINX 配置以应用更改。该指令没有默认值,这意味着必须显式设置它以启用对被代理连接的 SSL 验证。
配置示例
http {
proxy_ssl_trusted_certificate /etc/nginx/certs/ca.crt;
}⚠
确保证书文件存在并且格式正确(PEM-encoded)。
⚠
在高流量环境中使用此指令时要小心,因为它会为SSL验证增加开销。
⚠
在更新证书文件后,务必 reload 或 restart NGINX。