在当今互联网环境中，HTTPS已经成为保障数据传输安全的标准协议。作为网络安全从业人员，我们经常需要配置Nginx服务器以支持HTTPS通信。在某些特殊场景下，比如企业内部系统对接或第三方服务集成时，可能需要配置对方的HTTPS证书到Nginx中。本文将用通俗易懂的语言，结合具体场景和示例，带你彻底掌握这一关键技能。

一、为什么需要配置对方的HTTPS证书？

想象一下这样的场景：

1. 企业内部系统调用：公司A的订单系统（Nginx代理）需要调用公司B的库存系统（HTTPS接口），但B的证书是自签名的，Nginx默认不信任这类证书。

2. 第三方API对接：你的支付网关对接了某银行的接口，对方提供了专属证书（非公共CA签发），直接请求会报错`SSL certificate verify failed`。

这时候就需要将对方的证书“告诉”Nginx，让它信任这个特定的通信对象。

二、配置步骤详解（附实例）

1. 获取对方证书

- 方法一：通过浏览器导出

访问目标HTTPS网站 → 点击地址栏锁图标 → 导出证书（如Chrome支持PEM格式）。

*示例*：如果你要对接`https://internal-api.example.com`，直接从这里下载证书。

- 方法二：使用OpenSSL命令

```bash

openssl s_client -showcerts -connect internal-api.example.com:443 partner_cert.pem

```

这条命令会保存目标服务的证书到`partner_cert.pem`文件。

2. 将证书放到Nginx可信目录

```bash

sudo cp partner_cert.pem /etc/nginx/ssl/trusted_certs/

```

*注意*：目录需提前创建，权限设为`755`。

3. 修改Nginx配置文件

在需要发起HTTPS请求的`location`或`server`块中增加以下配置：

```nginx

location /api/ {

proxy_pass https://internal-api.example.com;

proxy_ssl_trusted_certificate /etc/nginx/ssl/trusted_certs/partner_cert.pem;

proxy_ssl_verify on;

开启证书验证

proxy_ssl_verify_depth 2;

验证链深度（根据实际情况调整）

}

*关键参数说明*：

- `proxy_ssl_trusted_certificate`：指定对方证书路径。

- `proxy_ssl_verify_depth`：如果对方用的是中级CA签发的证书，可能需要验证整个链。

4. 测试并重载配置

sudo nginx -t

测试语法

sudo systemctl reload nginx

三、常见问题与解决方案

? 问题1：Nginx报错"certificate verify failed"

- 原因：可能缺少中级CA证书。

- 解决：将对方提供的CA链证书（通常为`.crt`或`.pem`）合并到你的信任文件中：

```bash

cat partner_cert.pem intermediate_ca.pem > combined.pem

```

然后在Nginx中指向合并后的文件。

? 问题2：自签名证书不被信任

- 临时方案（仅测试环境用）：

```nginx

proxy_ssl_verify off;

关闭验证（不推荐生产环境使用）

- 正规方案：将自签名证书加入系统的全局信任库：

sudo cp partner_cert.pem /usr/local/share/ca-certificates/

sudo update-ca-certificates

四、安全最佳实践

1. 定期更新证书

对方的证书可能会过期或轮换，建议设置监控告警（比如用Nagios检查证书有效期）。

2. 最小化信任原则

不要盲目将所有第三方证书加入信任列表。例如：

proxy_ssl_name "strict-api.example.com";

强制校验CN域名

3. 日志记录

在Nginx中开启详细SSL日志便于排查：

error_log /var/log/nginx/ssl_error.log debug;

五、

通过本文的学习，你应该已经掌握了如何在Nginx中配置对方HTTPS证书的核心方法。无论是自签名证书、私有CA还是特定中间件场景，关键在于：

1. 正确获取并存储对方提供的凭证文件

2. 通过proxy_ssl系列指令精准控制验证行为

3. 遵循最小化授权原则保障安全性

下次当你遇到"Nginx不认可某HTTPS服务"的情况时，不妨检查是否需要显式声明信任关系。毕竟在网络安全的领域里，"明确允许"永远比"默认放行"更可靠！

TAG:nginx配置对方https证书,nginx 配置证书,nginx验证配置文件,nginx配置域名证书