最新下载
热门教程
- 1
- 2
- 3
- 4
- 5
- 6
- 7
- 8
- 9
- 10
如何配置全局 error_page 495 496 优雅重定向双向认证失败的客户端至用户友好引导页
时间:2026-06-23 09:12:47 编辑:袖梨 来源:一聚教程网
关键在于用http块全局error_page捕获495/496并内部重定向到命名location,再由该location执行return 302跳转至带reason参数的友好引导页,确保透传失败原因且保留审计能力。
要让双向认证失败的客户端(如证书过期、未提供证书)不看到冷冰冰的 495/496 错误页,而是跳转到一个清晰友好的引导页面(比如说明“请安装企业数字证书”或“联系IT获取访问权限”),关键在于:用 全局 error_page 指令捕获错误 + 内部重定向到自定义 URI + 该 URI 返回 302 跳转。不能直接用 error_page 重定向到外部 URL,否则会丢失原始请求上下文,也无法记录审计日志。
配置 error_page 捕获并内部转发
在 http 块顶层(而非 server 或 location 内)添加:
error_page 495 496 /ssl-error-redirect;
这表示:只要整个 Nginx 实例中任意 server 出现 495 或 496,都统一交给内部 URI /ssl-error-redirect 处理。注意:必须是内部 URI(以 / 开头),不能是 http:// 或 https://。
定义命名 location 执行跳转逻辑
在同一个 http 块中,紧接着添加命名 location:
location = /ssl-error-redirect {
return 302 https://yourdomain.com/ssl-guide?reason=$ssl_client_verify;
}
这里用了 return 302 实现外部重定向。参数 ?reason=$ssl_client_verify 很实用——它能把原始失败原因(如 FAILED:Certificate expired 或 FAILED:No certificate)透传过去,方便引导页动态显示不同提示。
确保 SSL 配置启用且路径匹配
上述机制只对真正触发双向认证的请求生效。因此,务必确认:
- 对应 server 或 location 已启用
ssl_verify_client on;和ssl_client_certificate - 不要在未开启双向认证的 HTTPS server 中配置此 error_page,否则可能误捕获其他错误
- 若仅部分路径强制认证(如
/api/private),建议将 error_page 放在该 location 内,更精准
配套建议:引导页需具备基础能力
目标跳转页(如 https://yourdomain.com/ssl-guide)最好支持:
- 根据 URL 参数
reason渲染不同文案(例如 “证书已过期” vs “您尚未安装证书”) - 提供下载链接(CA 根证书、客户端证书申请入口)或联系方式
- 设置较短缓存(
Cache-Control: no-cache),避免用户反复跳转后看到旧提示
相关文章
- 明末渊虚之羽防具有哪些排名 07-02
- 如何获取和平精英皮肤照片 07-02
- 空洞骑士丝之歌如何获取制造金属 07-02
- 鱼骨头螃蟹阵容如何搭配 07-02
- 战魂旅人玩法是什么 07-02
- 无限暖暖祝你幸福发饰如何获取 07-02