我正在使用 proxy_pass 指令来上游 https 服务器。代理服务器适用于 LAN 客户端。上游 https 服务器使用 letsencrypt。如何配置 SSL 验证?
proxy_pass https://upstream.backend
proxy_verify_ssl on;
proxy_ssl_trusted_certificate <which_file_is_supposed_to_be_here>;
proxy_ssl_verify_depth <what_number_here>;
答案1
这文档proxy_ssl_trusted_certificate状态:
指定一个
file使用 PEM 格式的受信任 CA 证书核实代理 HTTPS 服务器的证书。
由于您正在验证公共 TLS 证书,因此您可以将其指向系统的 CA 证书包。默认情况下,在 Red Hat 派生系统上,这是/etc/pki/tls/certs/ca-bundle.crt或/etc/pki/tls/certs/ca-bundle.trust.crt。如果您出于某种原因不使用 Red Hat 派生系统作为 Web 服务器,则您的位置可能会有所不同。
如果您愿意,您还可以单独下载 Let's Encrypt 的 CA 证书,将其放在文件系统的某个位置,然后指向它。