Nginx Proxy Manager 处理 Windows CA 签名证书的注意事项

在使用 Nginx Proxy Manager (NPM) 部署由 Windows Active Directory 证书颁发机构(CA)签发的 SSL 证书时，用户可能会遇到一个常见的技术问题。本文将深入分析该问题的成因并提供解决方案。

问题现象

当用户尝试上传由 Windows AD CA 签发的 SSL 证书时，NPM 可能会抛出错误提示"无法读取 null 的属性 '1'"。这种情况通常发生在以下场景：

1. 使用 OpenSSL 生成密钥对
2. 创建包含 CN (Common Name) 和 subjectAltName (包含 IP 和 DNS 记录) 的证书签名请求(CSR)
3. 通过 Windows CA 完成证书签发
4. 将证书和私钥上传至 NPM 时出现错误

值得注意的是，这些证书在其他 Nginx 服务器上可以正常工作，表明证书本身是有效的。

问题根源

经过技术分析，这个问题主要源于证书链的完整性。NPM 在处理证书时，除了验证证书主体和私钥的匹配外，还需要完整的信任链来验证证书的合法性。当仅上传终端实体证书而缺少中间 CA 证书时，NPM 的证书验证逻辑会出现异常。

解决方案

解决此问题的关键在于确保上传完整的证书链。具体操作步骤如下：

1. 准备证书文件时，除了终端实体证书外，还需要包含中间 CA 证书
2. 将终端实体证书和中间 CA 证书合并为一个 PEM 文件（通常按照从终端到根的证书顺序）
3. 在 NPM 上传证书时，同时提供合并后的证书链文件和私钥文件

最佳实践建议

为避免类似问题，建议管理员在部署 SSL 证书时遵循以下规范：

1. 始终检查证书链的完整性，可以使用 OpenSSL 命令验证
2. 对于企业 CA 签发的证书，确保包含所有必要的中间证书
3. 在上传前，先在本地验证证书链是否完整
4. 考虑使用证书链验证工具进行预检查

通过遵循这些实践，可以显著提高在 NPM 中部署企业 CA 签发证书的成功率，确保 HTTPS 服务的顺利部署。