当 Nginx 配置为验证服务器的 TLS 链时,如下所示:
proxy_ssl_trusted_certificate some.pem;
proxy_ssl_verify on;
proxy_ssl_verify_depth 3;
并使用 curl 命令进行测试,curl 和 Nginx 都会执行服务器 TLS 链验证吗?
答案1
假设 curl 通过 nginx 代理发出请求(-x/--proxy如果使用 HTTP inside TLS;--proxytunnel对于其他协议),那么是的,curl 和 nginx 都在通过构建从该证书到受信任的根证书的链来验证服务器证书。如果您不想让 curl 验证证书链,则可以使用-k/--insecure。
编辑:如果您的担忧与双向 TLS 有关(即 curl 正在向服务器发送客户端证书),那么请编辑您的问题以明确您对 mTLS 的担忧。我认为 mTLS 与问题无关,因为您问的是
curl 和 Nginx 的性能服务器TLS 链验证?
(重点是我的)
mTLS 证书验证/确认将涉及客户端的 TLS 链。