uwsgi_ssl_crl
'uwsgi_ssl_crl' 指令指定在 NGINX 中用于 uWSGI SSL 连接的证书撤销列表 (CRL) 文件。 — NGINX HTTP Core
uwsgi_ssl_crl
httpserverlocation
语法uwsgi_ssl_crl path_to_crl_file;
默认值none
上下文http, server, location
模块NGINX HTTP Core
参数1
说明
'uwsgi_ssl_crl' 指令用于在 NGINX 中处理 uWSGI SSL 连接。通过设置此指令,可以定义包含被撤销证书列表的文件的路径,该列表用于在 SSL 握手期间验证客户端出示的证书。这对于增强安全性非常重要,能确保证书不再有效或已被撤销的证书不会被服务器接受。CRL 由 NGINX 服务器处理,用以拒绝使用已撤销证书的客户端,从而维持强健的 SSL 安全态势。 此指令可以在 `http`、`server` 或 `location` 上下文中指定,接受一个参数,即 CRL 的文件路径。如果指定的文件不正确或无法读取,NGINX 会记录错误,并可能无法正确终止涉及已撤销证书的连接。必须确保证书撤销列表文件保持最新并可被 NGINX 服务器进程访问,以避免安全问题。 总的来说,使用 'uwsgi_ssl_crl' 指令通过控制哪些 SSL 证书被视为有效,提供了额外的安全层,这对处理敏感数据或需要高信任与合规性的应用尤为重要。
配置示例
server {
listen 443 ssl;
server_name example.com;
uwsgi_ssl_crl /etc/ssl/crl.pem;
location / {
uwsgi_pass unix:/tmp/uwsgi.sock;
uwsgi_ssl_certificate /etc/ssl/certs/your_cert.pem;
uwsgi_ssl_certificate_key /etc/ssl/private/your_key.pem;
}
}⚠
确保 CRL 文件格式正确并且 NGINX 可访问;否则,服务器可能无法正确验证证书。
⚠
在更新 CRL 文件后,请记得 reload 或 restart NGINX,以确保更改生效。
⚠
验证 CRL 文件的权限以避免运行时发生访问错误。