Nginx 技巧：使用 proxy_ssl_verify 指令進行上游 SSL 驗證

Nginx 作為一個高效能的網頁伺服器和反向代理伺服器，廣泛應用於各種網路架構中。隨著網路安全性需求的提升，SSL/TLS 加密已成為保護資料傳輸的重要手段。在這篇文章中，我們將探討如何使用 Nginx 的 proxy_ssl_verify 指令來進行上游伺服器的 SSL 驗證，確保資料的安全性和完整性。

什麼是 proxy_ssl_verify？

proxy_ssl_verify 是 Nginx 中的一個指令，用於啟用對上游伺服器的 SSL 證書驗證。當 Nginx 作為反向代理時，它可以將請求轉發到其他伺服器，這些伺服器可能使用 SSL/TLS 加密。透過啟用 proxy_ssl_verify，Nginx 可以確保與上游伺服器的連接是安全的，並且該伺服器的 SSL 證書是有效的。

為什麼需要上游 SSL 驗證？

在許多情況下，Nginx 可能需要與其他服務進行通信，例如 API 伺服器或微服務架構中的其他組件。這些服務可能位於不同的伺服器上，並且使用 SSL/TLS 進行加密。若不進行 SSL 驗證，可能會面臨以下風險：

• 中間人攻擊：攻擊者可能會攔截和篡改傳輸的資料。
• 伺服器身份偽造：未經驗證的伺服器可能會冒充合法伺服器，導致資料洩露。
• 合規性問題：某些行業要求必須進行資料傳輸的加密和驗證。

如何配置 proxy_ssl_verify

要啟用 proxy_ssl_verify，您需要在 Nginx 的配置文件中進行相應的設置。以下是一個基本的配置範例：

server {
    listen 80;
    server_name example.com;

    location / {
        proxy_pass https://upstream_server;
        proxy_ssl on;
        proxy_ssl_verify on;  # 啟用 SSL 驗證
        proxy_ssl_verify_depth 2;  # 設定驗證深度
        proxy_ssl_trusted_certificate /path/to/ca.crt;  # 設定信任的 CA 憑證
    }
}

指令解釋

• proxy_ssl on;：啟用 SSL 支持。
• proxy_ssl_verify on;：啟用對上游伺服器的 SSL 證書驗證。
• proxy_ssl_verify_depth：設定驗證的深度，通常設為 2 即可。
• proxy_ssl_trusted_certificate：指定信任的 CA 憑證路徑，Nginx 將使用這些憑證來驗證上游伺服器的 SSL 證書。

測試配置

完成配置後，您可以使用以下命令測試 Nginx 配置是否正確：

nginx -t

如果配置正確，您將看到類似於以下的訊息：

nginx: configuration file /etc/nginx/nginx.conf test is successful

接著，重新啟動 Nginx 以應用更改：

systemctl restart nginx

結論

使用 proxy_ssl_verify 指令進行上游 SSL 驗證是確保資料安全的重要步驟。透過正確的配置，您可以有效地防止中間人攻擊和伺服器身份偽造，從而保護您的應用程式和用戶資料的安全。在當今的網路環境中，這樣的安全措施是不可或缺的。

如需了解更多有關 香港 VPS 和伺服器配置的資訊，請訪問我們的網站。