如何通过Nginx配置ssl_trusted_certificate解决根证书缺失导致的访问报错问题?
- 内容介绍
- 文章标签
- 相关推荐
本文共计935个文字,预计阅读时间需要4分钟。
当Nginx作为反向代理或HTTPS服务端时,若后端服务(如API、gRPC服务或另一个HTTPS站点)使用了自签名证书、私有CA签发的证书,或证书链中缺少根证书/中间证书,客户端(如curl、浏览器或内部服务)可能会报错 SSL certificate problem: unable to get local issuer certificate 或类似错误。此时,不能依赖客户端去安装根证书,而应通过Nginx主动验证并信任指定的根证书——关键配置就是 ssl_trusted_certificate。
理解 ssl_trusted_certificate 的作用场景
这个指令只在 Nginx 启用 SSL/TLS 验证上游服务器(即使用 proxy_ssl_verify on)时生效,它告诉 Nginx:「用这份证书文件里的根和中间证书,来校验上游服务返回的证书链是否可信」。它不用于 Nginx 自己对外提供的证书,也不替代 ssl_certificate。
本文共计935个文字,预计阅读时间需要4分钟。
当Nginx作为反向代理或HTTPS服务端时,若后端服务(如API、gRPC服务或另一个HTTPS站点)使用了自签名证书、私有CA签发的证书,或证书链中缺少根证书/中间证书,客户端(如curl、浏览器或内部服务)可能会报错 SSL certificate problem: unable to get local issuer certificate 或类似错误。此时,不能依赖客户端去安装根证书,而应通过Nginx主动验证并信任指定的根证书——关键配置就是 ssl_trusted_certificate。
理解 ssl_trusted_certificate 的作用场景
这个指令只在 Nginx 启用 SSL/TLS 验证上游服务器(即使用 proxy_ssl_verify on)时生效,它告诉 Nginx:「用这份证书文件里的根和中间证书,来校验上游服务返回的证书链是否可信」。它不用于 Nginx 自己对外提供的证书,也不替代 ssl_certificate。