tls_trusted_certificate
在 NGINX 配置中,`tls_trusted_certificate` 指令指定用于验证客户端证书的受信任 CA 证书。
Proxy-Wasm support for Nginx powered by wasmtime
语法tls_trusted_certificate path/to/ca_cert.pem;
默认值none
上下文
参数1
说明
在 NGINX 中,tls_trusted_certificate 指令用于设置一个受信任的证书颁发机构 (CA) 证书,以便验证客户端证书。当 NGINX 作为需要通过 TLS 进行客户端认证的应用程序的反向代理时,这一点尤其有用。当定义了此指令时,NGINX 会使用提供的证书来验证在 TLS 握手过程中出示的客户端证书。如果客户端证书无法根据指定的 CA 证书进行验证,则握手失败,访问被拒绝。
该指令接受一个参数:CA 证书文件的路径。必须确保证书文件为 PEM 格式,PEM 是证书编码的行业标准。该指令通常放在处理双向 TLS (mTLS) 设置时的 server 或 location 块中;mTLS 通过要求服务器和客户端同时出示有效证书来增加一层安全性。
在行为上,如果未设置该指令或找不到指定的文件,则客户端可能在没有验证的情况下被允许访问,或被拒绝访问,这取决于诸如 ssl_verify_client 之类的其他相关安全设置。因此,在需要严格认证措施以防止未经授权访问的环境中,使用 tls_trusted_certificate 至关重要。
配置示例
server {
listen 443 ssl;
ssl_certificate /etc/ssl/certs/server.crt;
ssl_certificate_key /etc/ssl/private/server.key;
tls_trusted_certificate /etc/ssl/certs/ca_cert.pem;
ssl_verify_client on;
}⚠
确保 CA 证书文件存在于指定路径;否则,NGINX 将无法启动。
⚠
确保 CA 证书为正确的 PEM 格式;任何格式不匹配可能会导致客户端验证期间出现错误。
⚠
如果配置不正确,客户端认证可能会失败,导致合法用户出现连接问题。