tls_verify_host
在 NGINX 的 Proxy-Wasm 环境中,`tls_verify_host` 指令用于配置在建立 TLS 连接时对主机名的信任验证。
Proxy-Wasm support for Nginx powered by wasmtime
语法tls_verify_host on | off;
默认值off
上下文
参数1
说明
tls_verify_host 指令是 NGINX 的 Proxy-Wasm 支持的一部分,允许用户在出站连接的 TLS 握手期间强制执行主机名验证。启用时,NGINX 会检查被连接服务器的主机名是否与服务器 TLS 证书中的通用名 (CN) 或主题备用名称 (SAN) 字段匹配。这对于防止中间人攻击并确保客户端与预期服务器通信至关重要。
该指令接受单个参数,其值为 "on" 或 "off"。设置为 "on"(或启用)时,NGINX 会执行主机名验证。相反,设置为 "off" 会禁用该验证过程。通常建议启用此指令以保持连接安全,特别是当 NGINX 服务器作为反向代理或网关时。
在行为上,如果启用了 tls_verify_host 且主机名验证失败,NGINX 将不会建立连接,并会记录一条错误日志以指示失败原因。这有助于确保只允许与有效主机建立安全连接,从而维护通过 NGINX 提供的 Web 服务的完整性。
配置示例
http {
server {
listen 9000;
location / {
proxy_pass https://backend.server;
tls_verify_host on;
}
}
}⚠
在处理出站 TLS 连接时,请务必启用该指令以防止潜在的安全问题。
⚠
未能匹配 hostname 会导致连接失败;请确保您的 server certificates 已正确配置。