如何设置Nginx的proxy_ssl_verify_depth来限制后端证书链校验深度?
- 内容介绍
- 文章标签
- 相关推荐
本文共计761个文字,预计阅读时间需要4分钟。
>
请提供需要改写的原文,我将根据您的要求进行简化改写。
为什么需要设置 proxy_ssl_verify_depth?
多数公网服务使用“根 CA → 中间 CA → 终端证书”三级结构。Nginx 默认只验证一级(verify_depth = 1),即仅检查终端证书是否由 proxy_ssl_trusted_certificate 中的某个证书直接签发。若后端返回的证书由中间 CA 签发,而该中间 CA 又由根 CA 签发,Nginx 就会因无法在可信证书文件中直接找到签发者而校验失败,报错 certificate verify failed。
此时需将深度设为 2 或 3,让 Nginx 沿证书链逐级向上验证,直到匹配到可信根证书。
本文共计761个文字,预计阅读时间需要4分钟。
>
请提供需要改写的原文,我将根据您的要求进行简化改写。
为什么需要设置 proxy_ssl_verify_depth?
多数公网服务使用“根 CA → 中间 CA → 终端证书”三级结构。Nginx 默认只验证一级(verify_depth = 1),即仅检查终端证书是否由 proxy_ssl_trusted_certificate 中的某个证书直接签发。若后端返回的证书由中间 CA 签发,而该中间 CA 又由根 CA 签发,Nginx 就会因无法在可信证书文件中直接找到签发者而校验失败,报错 certificate verify failed。
此时需将深度设为 2 或 3,让 Nginx 沿证书链逐级向上验证,直到匹配到可信根证书。