指令参考

sxg_cert_path

`sxg_cert_path` 指令指定在签名的 HTTP 交换(SXG)中用于提供证书的文件路径。

Signed HTTP Exchange(SXG) support for NGINX · server
语法sxg_cert_path path;
默认值none
上下文server
参数1

说明

sxg_cert_path 指令定义了一个绝对的文件系统路径,用于存放 SXG 证书文件。该路径对 sxg_cert_url 至关重要,后者是用于提供 CBOR 编码证书的 URL。当指定时,NGINX 会根据 sxg_certificate 指令提供的 PEM 证书自动生成 CBOR 编码的证书,并在需要时刷新它。该过程要求服务器能够访问证书的 OCSP 响应者,以确保可以获取有效的 OCSP 响应来保持证书更新。

正确部署时,sxg_cert_path 可与其他与 SXG 相关的指令无缝集成,增强提供签名交换的功能。如果未指定,sxg_cert_url 将提供过期的证书,或者在证书无法预生成时可能失败。该指令为可选项,但将其指定对于动态证书处理是必要的,并且强烈建议在生产环境中使用。

配置示例

server {
    listen 80;
    server_name example.com;

    sxg_cert_path /etc/nginx/sxg/certificate.cbor;
    sxg_certificate /etc/ssl/certs/my_certificate.pem;
    sxg_certificate_key /etc/ssl/private/my_key.pem;
    sxg_cert_url https://example.com/cert-chain+cbor;
    sxg_validity_url https://example.com/validity.json;
    sxg_enable on;
}

确保指定的路径对 NGINX 用户可写,否则可能无法生成或更新证书。

OCSP responder 必须可访问;否则证书将无法正确验证,可能导致在服务 SXGs 时发生故障。

该路径必须是绝对路径;相对路径会导致配置错误。

相关指令

sxgsxg_certificatesxg_certificate_keysxg_cert_urlsxg_validity_urlsxg_expiry_seconds
← 返回所有指令