Nginx 技巧：使用 proxy_ssl_trusted_certificate 進行可信 CA 證書

Nginx 是一款高效能的網頁伺服器，廣泛應用於反向代理、負載均衡及 HTTP 快取等場景。在許多情況下，Nginx 需要與其他伺服器進行安全的 SSL/TLS 通訊。為了確保這些通訊的安全性，使用可信的 CA 證書是至關重要的。本文將探討如何使用 Nginx 的 proxy_ssl_trusted_certificate 指令來配置可信的 CA 證書。

什麼是 proxy_ssl_trusted_certificate？

proxy_ssl_trusted_certificate 是 Nginx 中的一個指令，用於指定一個或多個可信的 CA 證書文件。這些證書文件將用於驗證與上游伺服器的 SSL/TLS 連接。當 Nginx 作為反向代理時，確保與上游伺服器的連接是安全的，對於保護用戶數據至關重要。

為什麼需要使用可信 CA 證書？

在網絡安全中，CA（證書授權機構）扮演著重要角色。它們負責簽發和管理 SSL/TLS 證書，確保通訊雙方的身份是可信的。使用不受信任的證書可能導致中間人攻擊（MITM），使得敏感數據暴露於潛在的攻擊者。因此，使用 proxy_ssl_trusted_certificate 指令來指定可信的 CA 證書是非常必要的。

如何配置 proxy_ssl_trusted_certificate

以下是配置 proxy_ssl_trusted_certificate 的基本步驟：

1. 首先，確保你已經獲得了可信的 CA 證書。這些證書通常以 PEM 格式提供。
2. 將 CA 證書文件上傳到 Nginx 伺服器的適當目錄中，例如 /etc/nginx/certs/。
3. 編輯 Nginx 配置文件，添加以下指令：

server {
    listen 80;
    server_name example.com;

    location / {
        proxy_pass https://upstream-server.com;
        proxy_ssl on;
        proxy_ssl_trusted_certificate /etc/nginx/certs/ca-certificates.crt;
        proxy_ssl_certificate /etc/nginx/certs/client-cert.crt;
        proxy_ssl_certificate_key /etc/nginx/certs/client-key.key;
    }
}

在上述配置中，proxy_ssl_trusted_certificate 指令指定了 CA 證書的路徑。這樣，Nginx 在與上游伺服器建立 SSL/TLS 連接時，將會驗證該證書的有效性。

測試配置

完成配置後，建議使用以下命令測試 Nginx 配置是否正確：

nginx -t

如果配置正確，則可以重新啟動 Nginx 服務以使更改生效：

systemctl restart nginx

常見問題

1. 如何獲取 CA 證書？

CA 證書可以從許多公共 CA 獲得，例如 Let’s Encrypt、DigiCert 等。通常，這些機構會提供免費或付費的證書服務。

2. 如果上游伺服器的證書無法驗證，該怎麼辦？

如果 Nginx 無法驗證上游伺服器的證書，請檢查 CA 證書是否正確安裝，並確保上游伺服器的證書鏈是完整的。

總結

使用 Nginx 的 proxy_ssl_trusted_certificate 指令來配置可信的 CA 證書是確保安全通訊的重要步驟。透過正確的配置，您可以有效地保護用戶數據，防止潛在的安全威脅。若您需要進一步了解 香港 VPS 及其相關服務，請訪問我們的網站以獲取更多資訊。