Nginx使用HTTPS建立与上游服务器的网络通信

最新推荐文章于 2023-11-07 19:47:08 发布
最新推荐文章于 2023-11-07 19:47:08 发布
阅读量1.7k 收藏
点赞数 1
文章标签: Nginx
版权声明:本文为博主原创文章,遵循 CC 4.0 BY 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Aria_Miazzy/article/details/103202081
版权

Nginx使用HTTPS建立与上游服务器的网络通信

 

本文介绍了如何加密NGINX与上游组或代理服务器之间的HTTP通信。

先决条件

 

获取SSL服务器证书

您可以从受信任的证书颁发机构(CA)购买服务器证书,也可以使用OpenSSL库创建自己的内部CA 并生成自己的证书。服务器证书以及私钥应放在每个上游服务器上。

 

获取SSL客户端证书

NGINX将使用SSL客户端证书向上游服务器标识自己。此客户端证书必须由受信任的CA签名,并在NGINX上与相应的私钥一起配置。

您还需要配置上游服务器,以要求所有传入的SSL连接都需要客户端证书,并信任颁发NGINX客户端证书的CA。然后,当NGINX连接到上游时,它将提供其客户端证书,而上游服务器将接受它。

 

配置NGINX

首先,将URL更改为上游组以支持SSL连接。在NGINX配置文件中,httpsproxy_pass伪指令中的代理服务器或上游组指定“ ”协议:

location /upstream {
    proxy_pass https://backend.example.com;
}

使用proxy_ssl_certificateproxy_ssl_certificate_key指令添加客户端证书和将用于在每个上游服务器上对NGINX进行身份验证的密钥:

location /upstream {
    proxy_pass                https://backend.example.com;
    proxy_ssl_certificate     /etc/nginx/client.pem;
    proxy_ssl_certificate_key /etc/nginx/client.key;
}

如果您对上游或您自己的CA使用自签名证书,请同时添加proxy_ssl_trusted_certificate。该文件必须为PEM格式。(可选)包括proxy_ssl_verifyproxy_ssl_verfiy_depth指令,以使NGINX检查安全证书的有效性:

location /upstream {
    #...
    proxy_ssl_trusted_certificate /etc/nginx/trusted_ca_cert.crt;
    proxy_ssl_verify       on;
    proxy_ssl_verify_depth 2;
    #...
}

每个新的SSL连接都需要在客户端和服务器之间进行完整的SSL握手,这会占用大量CPU。要让NGINX代理先前协商过连接参数并使用所谓的缩写握手,请包含以下proxy_ssl_session_reuse指令:

location /upstream {
    #...
    proxy_ssl_session_reuse on;
    #...
}

(可选)您可以指定使用哪些SSL协议和密码:

location /upstream {
        #...
        proxy_ssl_protocols TLSv1 TLSv1.1 TLSv1.2;
        proxy_ssl_ciphers   HIGH:!aNULL:!MD5;
}

 

配置上游服务器

每个上游服务器应配置为接受HTTPS连接。对于每个上游服务器,使用ssl_certificatessl_certificate_key指令指定服务器证书和私钥的路径:

server {
    listen              443 ssl;
    server_name         backend1.example.com;

    ssl_certificate     /etc/ssl/certs/server.crt;
    ssl_certificate_key /etc/ssl/certs/server.key;
    #...
    location /yourapp {
        proxy_pass http://url_to_app.com;
        #...
    }
}

使用ssl_client_certificate伪指令指定客户端证书的路径:

server {
    #...
    ssl_client_certificate /etc/ssl/certs/ca.crt;
    ssl_verify_client      optional;
    #...
}

 

完整的例子

http {
    #...
    upstream backend.example.com {
        server backend1.example.com:443;
        server backend2.example.com:443;
   }

    server {
        listen      80;
        server_name www.example.com;
        #...

        location /upstream {
            proxy_pass                    https://backend.example.com;
            proxy_ssl_certificate         /etc/nginx/client.pem;
            proxy_ssl_certificate_key     /etc/nginx/client.key;
            proxy_ssl_protocols           TLSv1 TLSv1.1 TLSv1.2;
            proxy_ssl_ciphers             HIGH:!aNULL:!MD5;
            proxy_ssl_trusted_certificate /etc/nginx/trusted_ca_cert.crt;

            proxy_ssl_verify        on;
            proxy_ssl_verify_depth  2;
            proxy_ssl_session_reuse on;
        }
    }

    server {
        listen      443 ssl;
        server_name backend1.example.com;

        ssl_certificate        /etc/ssl/certs/server.crt;
        ssl_certificate_key    /etc/ssl/certs/server.key;
        ssl_client_certificate /etc/ssl/certs/ca.crt;
        ssl_verify_client      optional;

        location /yourapp {
            proxy_pass http://url_to_app.com;
        #...
        }

    server {
        listen      443 ssl;
        server_name backend2.example.com;

        ssl_certificate        /etc/ssl/certs/server.crt;
        ssl_certificate_key    /etc/ssl/certs/server.key;
        ssl_client_certificate /etc/ssl/certs/ca.crt;
        ssl_verify_client      optional;

        location /yourapp {
            proxy_pass http://url_to_app.com;
        #...
        }
    }
}

在此示例中,伪指令中的“ https”协议proxy_pass指定由NGINX转发到上游服务器的流量得到保护。

当安全连接第一次从NGINX传递到上游服务器时,将执行完整的握手过程。该proxy_ssl_certificate伪指令定义上游服务器所需的PEM格式证书proxy_ssl_certificate_key的位置,该伪指令定义证书的私钥的位置,并且proxy_ssl_protocolsproxy_ssl_ciphers伪指令控制使用哪些协议和密码。

下次NGINX将连接传递到上游服务器时,由于该proxy_ssl_session_reuse指令,会话参数将被重用,并且安全连接的建立速度更快。

proxy_ssl_trusted_certificate指令命名的文件中的受信任CA证书用于在上游验证证书。该proxy_ssl_verify_depth伪指令指定检查证书链中的两个证书,并且该proxy_ssl_verify伪指令验证证书的有效性。

星河_赵梓宇
关注
  • 1
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
nginx结合rewrite实现反代
moliyiran的专栏
01-04 310
遇到这么个业务,当我访问http://www.a.com/a.mp4?a=1&orig=www.b.com我要反向代理到 http://www.b.com?a=1注意这里我的orig参数是不反代过去的。配置如下: location ~ .*\.mp4$ { set $pro_target $arg_orig; if ($args...
详解Nginx服务器和iOS的HTTPS安全通信
01-20
详解Nginx服务器和iOS的HTTPS安全通信 简介 在网络通信中,使用抓包软件可以对网络请求进行分析,并进行重放攻击,重放攻击的解决方案一般是使用一个变化的参数,例如RSA加密的时间戳,但考虑到网络传输时延,时间戳需要有一定的误差容限,这样仍然不能从根本上防止重放攻击。想要较好的解决重放攻击问题,应考虑使用HTTPS通信HTTPS协议是由SSL+HTTP协议构建的可进行加密传输、身份认证的网络协议,比HTTP协议安全。 实现 对于用浏览器访问的网站,需要向CA申请证书才能保证HTTPS的网页被正常的浏览,否则会被警告是不安全或者未认证的网站,而对于一些后台数据的传输,使用自签署的证书即可
Nginx服务器https配置的方法示例
09-30
主要介绍了Nginx服务器https配置的方法示例,小编觉得挺不错的,现在分享给大家,也给大家做个参考。一起跟随小编过来看看吧
nginx搭建https服务器.docx编程资料
04-07
nginx搭建https服务器.docx
nginx图片服务器配置和https配置
07-24
nginx图片服务器配置和https配置
Nginx 转发 SSL 的坑
ryandong的专栏
08-14 9525
昨天遇到一个问题,主机服务还没有转成https,但要转发给一个https地址,一直在报一个错 upstream server temporarily disabled while SSL handshaking to upstream, client: xxx.xxx.xxx.xxx, server: localhost SSL_do_handshake() failed (SSL: error:1408F10B:SSL routines:ssl3_get_record:wrong version nu
nginx
simplemeet的博客
01-02 209
nginx: nginx的启动,停止,重新加载配置文件的命令 几个常用的nginx命令 Nginx 安装后只有一个程序文件,本身并不提供各种管理程序,它是使用参数和系统信号机制对 Nginx 进程本身进行控制的。 Nginx 的参数包括有如下几个: 可以这样使用 /usr/local/nginx/sbin/nginx -参数 -c :使用指定的配置文件而不是 conf 目录下的 nginx.con...
Nginx错误解决实战:SSL_do_handshake() failed
最新发布
Fly的博客
11-07 3793
这意味着Nginx会尝试重用SSL会话,以提高性能。经过查看nginx相关文档发现默认情况下,服务器偶发报警错误日志。然后nginx修改配置。重新加载nginx配置。
nginx简单代理和域名配置
qq_27871511的博客
02-23 3686
nginx简单代理和域名配置
nginx(六十八)proxy模块(八)nginx上游的ssl握手
wzj_110的博客
11-27 3891
上游使用证书(指定自身使用的证书)的SSL/TLS握手。nginx与后端选择。nginx作为客户端。④ 验证上游的证书。
nginx如何代理转发第三方https网站
xzpdxz的博客
05-08 3146
nginx如何代理转发第三方https网站
03.Nginx基本配置2
布史之铭
05-23 198
文章目录一. 正向代理二. 反向代理三. 负载均衡 一. 正向代理 正向代理是一种客户端代理,即代理完成客户端请求的工作,一般是安装在客户终端的代理服务或浏览器插件,对用户可感知,正向代理不是本文的重点。 二. 反向代理 反向代理是服务端代理,即代理服务端完成响应处理的工作,对用户来说是无感知的。 代理协议类型: http #属于七层的应用层 代理 超文本传输协议 https #代理 http/https协议 TCP #属于四层传输层,代理tcp/
Nginx笔记——代理服务配置
想混口饭&的博客
04-28 5539
Nginx的代理配置,正向代理、反向代理、负载均衡
Nginx---反向代理,SSL支持
m0_53157173的博客
10-27 2949
NginxNginx反向代理Nginx实现正向代理Nginx反向代理的配置语法proxy_pass指令大家在编写proxy_pass的时候,后面的值要不要加"/"?proxy_set_header指令---向服务端发送客户端的ip等$http_xxx获取请求头中自定义xxx的值proxy_redirect指令小细节,注意 '/'该指令的几组选项Nginx反向代理实战1.如果服务器1、服务器2和服务器3的内容不一样,那我们可以根据用户请求来分发到不同的服务器。2.如果服务器1、服务器2和服务器3的内容是一样
Nginx反向代理基本设置的21个指令
实际工作与学习当中的随记
01-18 4180
1,proxy_pass 设置被代理服务器的地址,可以主机名,IP加端口号的形势,语法位:proxy_pass URL,下面举例说明: 1 2 3 4 5 6 7 8 9 10 11 12 upstreamproxy_sers{ server192.168.123.1/URI; server192.168.123.2/URI; ser...
Nginx之代理和负载均衡
happy19870612's blog
11-27 665
一 正向代理和反向代理 1.1 正向代理 正向代理:一般是考虑到内部网络安全,局域网内的客户端无法直接访问互联网上其他的站点,如果想访问外部互联网网站,可以在局域网内设置一台主机可以访问互联网,而其他的客户端则通过这个可以访问外部互联网的主机去访问外部。然后将结果返回给具体的客户端。   基于安全考虑,这个代理服务器可以拒绝某些客户端的请求,比如信息敏感或者非法的请求时,相当于起到了一部分
通过nginx的upstream配置域名进行http/htts的访问最佳实践方案(406/404问题解决)
热门推荐
wx370092877的博客
08-05 1万+
记一次nginx代理通过upstream配置域名,访问http/https的最佳实践方案,最终成功解决nginx返回的406问题
nginx之proxy_pass代理后端https请求完全拆解
weixin_34278190的博客
08-19 2144
2019独角兽企业重金招聘Python工程师标准>>> ...
nginx做代理https遇到SSL_do_handshake()握手失败
一路奔跑94的博客
03-29 1万+
这个问题真的时,困扰我一段时间了,反向代理时,设置了 proxy_ssl_protocols XXXX; #proxy_ssl_ciphers ECC-SM4-SM3; proxy_ssl_session_reuse off; 一开始的时候由于看到了这个: proxy_ssl_session_reuse指令配置,当下一次nginx转发一个连接到后端服务器时,会话参数会被重复使用,从而更...
服务器报错nginx 502 Bad Gateway的原因以及解决办法
07-27
4. 防火墙或代理问题:检查防火墙或代理是否阻止 Nginx 与后端服务器之间的通信。确保防火墙或代理允许来自 Nginx 的请求通过。 5. 缓存问题:尝试清除 Nginx 的缓存并重新加载页面。有时候,过期或损坏的缓存可能...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值