文档章节

nginx之proxy_pass代理后端https请求完全拆解

永福
 永福
发布于 2017/08/19 16:30
字数 1175
阅读 5840
收藏 3

前言

本文解释了怎么对nginx和后端服务器组或代理服务器进行加密http通信。

内容提纲

  • 前提条件
  • 获取SSL服务端证书
  • 获取SSL客户端证书
  • 配置nginx
  • 配置后端服务器
  • 完整示例

前提条件

  • nginx源码或nginx plus源码
  • 一个代理服务器或一个代理服务器组
  • SSL证书和私钥

获取SSL服务端证书

你可以从一个可信证书颁发机构(CA)购买一个服务器证书, 或者你可以使用openssl库创建一个内部CA, 并给自己颁发证书。这个服务器端证书和私钥需要部署在后端的每一个服务器上。

获取SSL客户端证书

nignx使用一个SSL客户端证书来对后端服务器组来标识自己。这个客户端证书必须是被一个可信CA签名的,并且和相匹配的私钥一起部署在nginx中。
你还需要在后端服务器上配置好所有的来源SSL连接都需要客户端证书,并信任这个CA颁发的nginx客户端证书。 然后当nginx连接后端时,将提供客户端证书,并且后端将会接收这个连接。

配置nginx

首先,改变相应URL到支持SSL连接的后端服务器组。在nginx的配置文件中,指明proxy_pass指令在代理服务器或后端服务器组中使用"https"协议:

location /upstream {
    proxy_pass https://backend.example.com;
}

增加客户端证书和私钥,用于验证nginx和每个后端服务器。使用proxy_ssl_certificateproxy_ssl_certificate_key指令:

location /upstream {  
    proxy_pass                https://backend.example.com;  
    proxy_ssl_certificate     /etc/nginx/client.pem;  
    proxy_ssl_certificate_key /etc/nginx/client.key  
}  

如果你在后端服务器使用了自签名证书或者使用了自建CA,你需要配置proxy_ssl_trusted_certificate. 这个文件必须是PEM格式的。另外还可以配置proxy_ssl_verifyproxy_ssl_verfiy_depth指令, 用来验证安全证书:

location /upstream {
    ...
    proxy_ssl_trusted_certificate /etc/nginx/trusted_ca_cert.crt;
    proxy_ssl_verify       on;
    proxy_ssl_verify_depth 2;
    ...
}

每一个新的SSL连接都需要在服务端和客户端进行一个完整的SSL握手过程,这非常耗费CPU计算资源。为了是nignx代理预先协商连接参数,使用一种简略的握手过程,增加proxy_ssl_session_reuse指令配置:

location /upstream {
    ...
    proxy_ssl_session_reuse on;
    ...
}

可选的,你也可以配置使用的SSL协议和SSL秘钥算法:

location /upstream {
        ...
        proxy_ssl_protocols TLSv1 TLSv1.1 TLSv1.2;
        proxy_ssl_ciphers   HIGH:!aNULL:!MD5;
}

配置后端服务器

每一个后端服务器都必须配置成接受https连接。每一个后端服务器需要使用ssl_certificatessl_certificate_key指令来指定服务器证书和私钥的文件路径:

server {
    listen              443 ssl;
    server_name         backend1.example.com;

    ssl_certificate     /etc/ssl/certs/server.crt;
    ssl_certificate_key /etc/ssl/certs/server.key;
    ...
    location /yourapp {
        proxy_pass http://url_to_app.com;
        ...
    }
}

使用ssl_client_certificat指令来设定客户端证书的文件路径:

server {
    ...
    ssl_client_certificate /etc/ssl/certs/ca.crt;
    ssl_verify_client      off;
    ...
}

完整示例

http {
    ...
    upstream backend.example.com {
        server backend1.example.com:443;
        server backend2.example.com:443;
   }

    server {
        listen      80;
        server_name www.example.com;
        ...

        location /upstream {
            proxy_pass                    https://backend.example.com;
            proxy_ssl_certificate         /etc/nginx/client.pem;
            proxy_ssl_certificate_key     /etc/nginx/client.key
            proxy_ssl_protocols           TLSv1 TLSv1.1 TLSv1.2;
            proxy_ssl_ciphers             HIGH:!aNULL:!MD5;
            proxy_ssl_trusted_certificate /etc/nginx/trusted_ca_cert.crt;

            proxy_ssl_verify        on;
            proxy_ssl_verify_depth  2;
            proxy_ssl_session_reuse on;
        }
    }

    server {
        listen      443 ssl;
        server_name backend1.example.com;

        ssl_certificate        /etc/ssl/certs/server.crt;
        ssl_certificate_key    /etc/ssl/certs/server.key;
        ssl_client_certificate /etc/ssl/certs/ca.crt;
        ssl_verify_client      off;

        location /yourapp {
            proxy_pass http://url_to_app.com;
        ...
        }

    server {
        listen      443 ssl;
        server_name backend2.example.com;

        ssl_certificate        /etc/ssl/certs/server.crt;
        ssl_certificate_key    /etc/ssl/certs/server.key;
        ssl_client_certificate /etc/ssl/certs/ca.crt;
        ssl_verify_client      off;

        location /yourapp {
            proxy_pass http://url_to_app.com;
        ...
        }
    }
}

在这个示例中, proxy_pass指令设置使用了"https"协议,所以nginx转发到后端服务器的流量是安全的。

当一个安全的连接第一次从nginx转发到后端服务器,将会实施一次完整的握手过程。proxy_ssl_certificate指令设置了后端服务器需要的PEM格式证书的文件位置。proxy_ssl_certificate_key指令设置了证书的私钥位置。proxy_ssl_protocolsproxy_ssl_ciphers指令控制使用的协议和秘钥算法。

因为proxy_ssl_session_reuse指令配置,当下一次nginx转发一个连接到后端服务器时,会话参数会被重复使用,从而更快的建立安全连接。

proxy_ssl_trusted_certificate指令设置的那个可信CA证书文件是用来验证后端服务器的证书。proxy_ssl_verify_depth指令指定了证书链检查的深度。proxy_ssl_verify指令验证证书的有效性。

译注

本文为翻译,英文原文地址:https://www.nginx.com/resources/admin-guide/nginx-https-upstreams/ ,尽量遵循原文,不准确的地方,还请指正,谢谢。 本文原文地址: https://my.oschina.net/foreverich/blog/1517128 永福翻译,未经授权,不得转载!

© 著作权归作者所有

共有 人打赏支持
永福

永福

粉丝 28
博文 21
码字总数 22833
作品 0
长沙
技术主管
nginx虚拟路径中proxy_pass对后端请求的影响

假设nginx中的配置是这样的: 那么,当用户请求http://x.x.x.x/subdir/other时,匹配到该区块,nginx反向代理到后端时会保留虚拟路径。nginx实际向后端发起的请求URL为http://y.y.y.y/subdir...

独指蜗牛
07/07
0
0
Nginx4大模块——proxy、headers、upstream、stream

   一:ngxhttpproxy_module 反向代理( reverse proxy) 方式是指用代理服务器来接受 Internet 上的连接请求, 然后将请求转发给内部网络中的上游服务器, 并将从上游服务器上得到的结果返...

yaohong
05/27
0
0
配置Nginx前端Apache后端服务器

曾经对host2ez主机,它用的是nginx,但却能完美兼容apache感到很困惑,一番折腾后知道,原来只要由Nginx做前端处理静态文件,Apache做后端服务器即可,代价是可怜的内存又少了... 一、基础知...

hengfeng_su
2013/02/24
0
1
nginx的反向代理模块 参数proxy_pass,proxy_method,proxy_hide_

nginx的反向代理模块有很多种配置,下面介绍一些常用的配置实例: 1.proxy_pass 语法:proxy_pass URL 配置块:location,if 详解:此配置项将当前请求反向代理到URL参数指定的服务器上,URL...

adbug
2016/02/24
861
0
Linux自学笔记——nginx应用进阶

本文部分参照博客http://blog.51cto.com/1992tao/1868267 Nginx除了作为web server,还具有反向代理、负载均衡和缓存的功能。 正向代理:是一个位于客户端和原始服务器之间的服务器,为了从原...

claude_liu
01/24
0
0

没有更多内容

加载失败,请刷新页面

加载更多

下一页

JS三元运算示例

1. topFlag=topFlag ==0?1:0; 等于 if(topFlag=00){ topFlag=1; }else if(topFlag == 1){ topFlag=0; } 2. 5>3?alert('5大'):alert('3大'); 即 if(5>3){alert('5大')}else{alert('3大')}; 注......

森火
今天
0
0
利用Slf4j的MDC跟踪方法调用链

why? 一个web项目通常提供很多URL访问地址, 项目一般都是分层处理,例如Controller——>Service——>DAO。 如果想根据日志查看用户一次请求都走了哪些方法(多数是查错误)。 如果系统是多人...

杨春炼
今天
9
0
Maven介绍及安装

Maven介绍及安装 以下内容是本人早期学习时的笔记,可能比较详实繁琐,现在复习一下Maven,顺便将内容抛出来,供大家一起学习进步。 一、Maven简介 Maven是Apache旗下的一款项目管理工具,是...

星汉
今天
0
0
小程序Aes解密

主要步骤: 1、下载AES源码(JS版) 2、在小程序中新建一个公共的文件夹,把AES源码拷贝进去(注意:需要暴露接口 module.exports = CryptoJS;) 3、添加一个用于加密解密的公共JS,可取名为...

Mr_Tea伯奕
今天
0
0
Go实现文件传输(基本传输可用)

发送端 package mainimport ("fmt""os""net""io")func SendFile(path string, connect net.Conn){file, oerr :=os.Open(path)if oerr !=nil{fmt.Println("Open", oerr)......

CHONGCHEN
今天
2
0

没有更多内容

加载失败,请刷新页面

加载更多

下一页

返回顶部
顶部