nginx反代https证书验证问题

nginx反代到另外一个https的服务器，如果把proxy_ssl_verify设置为on的话，需要在配置文件里指定一个证书，有没有办法不在配置文件里指定证书，让nginx用域名去验证源服务器的证书有效性？

试了proxy_ssl_name，但是没啥用，如果proxy_ssl_verify不设置就不会验证源服务器证书，但是设置为on就必须在配置文件里指定一个证书。
陕西网友:坐等一个nginx大佬进来指导一下
山东网友:是说让nginx去拉取源服务器的证书？我这样是没成功过（试过。很多种方法）。我现在都是nginx的反代服务器上也放置了一份证书，直接拉取源http（不是https）地址来解决。
西藏网友:是的，就是想让nginx去拉源服务器的证书，然后走正常tls证书验证链，不自己在反代服务器上放置和配置证书。我试了很多也都没能成功。
天津网友:应该不行的吧，不然CDN厂商早这么干了，，，
但是你可以源站只开443端口不部署证书，反代的还是要部署证书
澳门网友:目前来看是不行了，反代站在proxy_ssl_verify设置为on以后，配置了源站证书，源站换证书的时候也要去反代站换一下，好麻烦
只能写个脚本，源站更新证书的时候自动同步到反代站对应目录
湖南网友:理论上不部署应该不可以

如果可以的话 任何反代https 都有钓鱼的风险
黑龙江网友:不过理论上我在反代服务器把proxy_ssl_verify关掉也可以钓鱼
比如我建一个网站，反代到银行到网站，只要用户误认为我的网站是银行官网就可以
用户用浏览器打开我的域名（我的证书也是CA签发的，所以不会警告），我反代到银行网站（proxy_ssl_verify off），这个时候用户跟我到服务器到通信是校验证书的，但是校验的是我的证书，我跟银行的网站通信不校验证书，用户那边也不会警告

因为反代并不要求域名一致，所以感觉不是因为钓鱼风险才必须在proxy_pass的地方要求必须配置源站的证书
云南网友:我试了很多次。都没有成功的。也能看见日志保个什么握手错误。实在不行你就443直接转发端口到源吧。这样理论上是可行的
浙江网友:我现在是转发到源站的443端口，在proxy_pass的地方不打开proxy_ssl_verify就不校验源站证书了。
但是这样有个风险就是反代站和源站之间可能会被中间人攻击，如果配置了证书，就需要在源站更新证书的时候用脚本同步到反代站，比较麻烦。
北京网友:我现在是转发到源站的443端口，在proxy_pass的地方不打开proxy_ssl_verify就不校验源站证书了。
但是这样有个风险就是反代站和源站之间可能会被中间人攻击，如果配置了证书，就需要在源站更新证书的时候用脚本同步到反代站，比较麻烦。
湖北网友:是的  不可能从源站拉key  不过很好奇为啥不能跟一般的tls证书校验过程一样，从源站拉到公钥然后走标准的校验流程，可能是出于性能考虑吧

未经允许不得转载：美国VPS_搬瓦工CN2 GIA VPS » nginx反代https证书验证问题