Я использую директиву proxy_pass для восходящего сервера https. Прокси-сервер предназначен для клиентов LAN. Исходящий https-сервер использует letsencrypt. Как настроить SSL-проверку?
proxy_pass https://upstream.backend
proxy_verify_ssl on;
proxy_ssl_trusted_certificate <which_file_is_supposed_to_be_here>;
proxy_ssl_verify_depth <what_number_here>;
В документация для proxy_ssl_trusted_certificate состояния:
Определяет
fileс доверенными сертификатами CA в формате PEM, используемым для проверить сертификат проксированного HTTPS-сервера.
Поскольку вы проверяете общедоступные сертификаты TLS, вы можете указать их на комплект сертификатов CA вашей системы. По умолчанию в системах, производных от Red Hat, это /etc/pki/tls/certs/ca-bundle.crt или /etc/pki/tls/certs/ca-bundle.trust.crt. Ваше местоположение может отличаться, если вы по какой-то причине не используете систему, производную от Red Hat, в качестве веб-сервера.
Если вы хотите, вы также можете загрузить сертификат CA Let's Encrypt отдельно, разместить его где-нибудь в своей файловой системе и указать на него.