如何配置全局 error_page 495 496 优雅重定向双向认证失败的客户端至用户友好引导页

作者:袖梨 2026-06-23
关键在于用http块全局error_page捕获495/496并内部重定向到命名location,再由该location执行return 302跳转至带reason参数的友好引导页,确保透传失败原因且保留审计能力。

要让双向认证失败的客户端(如证书过期、未提供证书)不看到冷冰冰的 495/496 错误页,而是跳转到一个清晰友好的引导页面(比如说明“请安装企业数字证书”或“联系IT获取访问权限”),关键在于:用 全局 error_page 指令捕获错误 + 内部重定向到自定义 URI + 该 URI 返回 302 跳转。不能直接用 error_page 重定向到外部 URL,否则会丢失原始请求上下文,也无法记录审计日志。

配置 error_page 捕获并内部转发

http 块顶层(而非 server 或 location 内)添加:

error_page 495 496 /ssl-error-redirect;

这表示:只要整个 Nginx 实例中任意 server 出现 495 或 496,都统一交给内部 URI /ssl-error-redirect 处理。注意:必须是内部 URI(以 / 开头),不能是 http:// 或 https://

定义命名 location 执行跳转逻辑

在同一个 http 块中,紧接着添加命名 location:

location = /ssl-error-redirect {
    return 302 https://yourdomain.com/ssl-guide?reason=$ssl_client_verify;
}

这里用了 return 302 实现外部重定向。参数 ?reason=$ssl_client_verify 很实用——它能把原始失败原因(如 FAILED:Certificate expiredFAILED:No certificate)透传过去,方便引导页动态显示不同提示。

确保 SSL 配置启用且路径匹配

上述机制只对真正触发双向认证的请求生效。因此,务必确认:

  • 对应 server 或 location 已启用 ssl_verify_client on;ssl_client_certificate
  • 不要在未开启双向认证的 HTTPS server 中配置此 error_page,否则可能误捕获其他错误
  • 若仅部分路径强制认证(如 /api/private),建议将 error_page 放在该 location 内,更精准

配套建议:引导页需具备基础能力

目标跳转页(如 https://yourdomain.com/ssl-guide)最好支持:

  • 根据 URL 参数 reason 渲染不同文案(例如 “证书已过期” vs “您尚未安装证书”)
  • 提供下载链接(CA 根证书、客户端证书申请入口)或联系方式
  • 设置较短缓存(Cache-Control: no-cache),避免用户反复跳转后看到旧提示

相关文章

精彩推荐