如何设置proxy_ssl_verify_depth以增强内网微服务代理间通信的信任链安全?
- 内容介绍
- 文章标签
- 相关推荐
本文共计753个文字,预计阅读时间需要4分钟。
要使Nginx在反向代理内网微服务时正确验证HTTPS证书,请确保以下步骤:
理解 proxy_ssl_verify_depth 的实际作用
该指令定义 Nginx 在验证后端证书时,最多允许多少级证书签发路径。默认值为 1,只接受“终端证书 → 根 CA”这种直连结构。但内网微服务普遍使用私有 CA 签发的证书,常见结构是:
- 终端证书(微服务自身)
- 中间 CA 证书(企业内部二级签发机构)
- 根 CA 证书(内网 PKI 的信任锚)
此时需将 proxy_ssl_verify_depth 设为 3,否则即使证书合法、信任库完整,也会因链过长而报 certificate verify failed,返回 502 错误。
本文共计753个文字,预计阅读时间需要4分钟。
要使Nginx在反向代理内网微服务时正确验证HTTPS证书,请确保以下步骤:
理解 proxy_ssl_verify_depth 的实际作用
该指令定义 Nginx 在验证后端证书时,最多允许多少级证书签发路径。默认值为 1,只接受“终端证书 → 根 CA”这种直连结构。但内网微服务普遍使用私有 CA 签发的证书,常见结构是:
- 终端证书(微服务自身)
- 中间 CA 证书(企业内部二级签发机构)
- 根 CA 证书(内网 PKI 的信任锚)
此时需将 proxy_ssl_verify_depth 设为 3,否则即使证书合法、信任库完整,也会因链过长而报 certificate verify failed,返回 502 错误。