Nginx实现tcp代理并支持TLS加密实验

已于 2023-11-15 15:13:21 修改
阅读量2.4k 收藏 2
点赞数 2
分类专栏: Nginx 文章标签: nginx tcp代理 TLS 单向认证 双向认证
于 2023-11-08 10:23:12 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/ddazz0621/article/details/134249206
版权

Nginx源码编译

        关于nginx的搭建配置具体参考笔者之前的一篇文章:实时流媒体服务器搭建试验(nginx+rtmp)_如何在线测试流媒体rtmp搭建成功了吗-CSDN博客中的前半部分;唯一变化的是编译参数(添加stream模块并添加其对应ssl模块):

./configure --prefix=/usr/local/nginx --with-http_stub_status_module \
--with-http_ssl_module --with-stream --with-stream_ssl_module \
--with-stream_realip_module --with-openssl=../openssl-1.0.1f --without-http_gzip_module

tcp代理配置实验

          在配置文件nginx.conf中增加stream模块的配置,具体如下:

# lijd add 2023-11-4
stream {
    upstream backend {
        server 192.168.97.50:54321;
	}
	
	server {
		listen 12345 ssl;
		
		proxy_connect_timeout 60s;
        proxy_timeout 60s;
        proxy_pass backend;
    }
}
# lijd add end

          说明:真是的tcp服务器为:192.168.97.50,端口:54321;nginx代理服务器地址为:192.168.97.51,端口:12345。实验结果截图如下:

        当本地客户端(192.168.80.67)连接代理服务器192.168.97.51的12345端口时,nginx的代理进程会与真实的后台服务器(192.168.97.50)的54321端口创建一个tcp连接,如下图:

        客户端与服务器之间的通信成功连接并发送数据,演示如下图:

tcp加密通道配置实验

生成CA

        首先通过系统自带的openssl生成一套自己的CA跟服务器证书、客户端证书,具体命令如下:

==============================生成CA相关内容===============================
# 为CA生成私钥
openssl genrsa -out private/ca.prikey 2048

# 为CA机构生成公钥
openssl rsa -in ca.prikey -pubout -out ca.pubkey

# 为CA生成自签名证书
openssl req -new -x509 -days 3650 -key private/ca.prikey -out ca.cert

===========================生成服务器证书相关内容============================
# 生成服务器私钥
openssl genrsa -out server/ser.prikey 2048

# 生成服务器证书申请文件
openssl req -new -key server/ser.prikey -out server/ser.csr

# 生成由CA签名过的服务器证书
openssl x509 -req -days 365 -in server/ser.csr -CA ca.cert -CAkey private/ca.prikey -CAcreateserial -out server/ser.cert

===========================生成客户端证书相关内容============================
# 生成客户端私钥
openssl genrsa -out client/cli.prikey 2048

# 生成客户端证书申请文件
openssl req -new -key client/cli.prikey -out client/cli.csr

# 生成由CA签名过的客户端证书
openssl x509 -req -days 365 -in client/cli.csr -CA ca.cert -CAkey private/ca.prikey -CAcreateserial -out client/cli.cert

# 生成客户端集成证书,包括公钥和私钥,用于浏览器访问场景
openssl pkcs12 -export -in client/cli.cert -inkey client/cli.prikey -out client/certificate.p12

         生成的所有证书如下:

 TLS代理单向认证实验

        实验的环境跟上面的tcp代理配置实验相同,nginx.conf的配置文件添加SSL的一些基本配置,具体如下:

# lijd add 2023-11-4
stream {
    upstream backend {
        server 192.168.97.50:54321;
	}
	
	server {
		listen 12345;
		
		proxy_connect_timeout 60s;
        proxy_timeout 60s;
        proxy_pass backend;

        # 设置nginx代理与真实服务器连接是否为SSL协议加密
        proxy_ssl off;
		
		# 设置使用的SSL协议版本
		ssl_protocols       TLSv1 TLSv1.1 TLSv1.2 SSLv2;      
        ssl_ciphers         AES128-SHA:AES256-SHA:RC4-SHA:DES-CBC3-SHA:RC4-MD5;
		
        # 设置服务端使用的密码套件
        ssl_certificate      /lijd/CA/server/ser.cert;
        ssl_certificate_key  /lijd/CA/server/ser.prikey;
		
        ssl_session_cache   shared:SSL:10m;		# SSL TCP会话缓存设置共享内存区域名为
        
		# SSL,区域大小为10MB
        ssl_session_timeout 10m;				# SSL TCP会话缓存超时时间为10分钟

        # 开启客户端认证
		#ssl_verify_client on;
		#ssl_client_certificate /lijd/CA/ca.cert;
    }
}
# lijd add end

        注意:proxy_ssl参数开关表示:nginx代理与后台真是的tcp服务器直接是否需要SSL加密。

        由于实验需要tcp客户端通道加密,支持tcp客户端TLS加密工具比较难找到,因此用单纯的tcp协议认证测试相对麻烦。笔者在这里想了一个办法:由于http、https协议是基于tcp协议之上的协议,利用浏览器的https的请求特性,模拟一个tcp加密客户端;此时后台的真实服务器用系统自带的IIS服务(http服务器)充当一个tcp服务端。后台的真实服务器如下:

        通过nginx代理的tcp服务去访问后台服务器浏览器页面如下:

         可以看到浏览器能通过nginx代理访问到真实的后台服务器并收到网页回复数据。通过抓两条链路的数据包分析如下:

        1、浏览器(充当tcp客户端)与nginx代理之间的加密链路抓包分析如下:

        2、nginx与后台真实服务器之间的纯tcp链路抓包分析如下:

TLS代理双向认证实验

        双向认证需要nginx代理配置开启客户端认证。nginx.conf的配置将下面两行注释放开:

ssl_verify_client on;
ssl_client_certificate /lijd/CA/ca.cert;

        重启nginx代理后,再通过浏览器访问页面就打不开了,如下图:

        双向认证服务端需要认证客户端的证书信息,此时浏览器需要导入客户端集成证书certificate.p12,导入时需要密码,导入成功后如下图:

        再次通过浏览器访问页面如下图:

        点击确认之后成功访问到页面。由于客户端与nginx直接变成双向认证,nginx与真实服务器之间连接还是纯裸的tcp连接与单向认证时的情况相同,这里就抓一下客户端与nginx之间的数据包,如下图:

结语

        至此,通过nginx代理TLS加密通道实验已经完结。本章主要讨论的是如下图结构:

        有兴趣的同学可以研究一下nginx代理与客户端、服务器双向都为TLS加密通道。此时nginx的配置中proxy_ssl参数需要设置成on(默认为on,实验时在这卡了半天),这时就需要后台TCP服务器支持TLS加密。

码农诗人
关注
  • 2
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
nginx stream proxy 模块的ssl连接源码分析
一个致力于开源代码学习、分析和交流的博客
02-07 2139
本为对 nginx的ngx_stream_proxy_module与上游服务器建立ssl连接的过程进行了详细分析。
nginx1.6.3安装tcp支持.zip
03-04
标题“nginx1.6.3安装tcp支持.zip”所涉及的知识点主要集中在如何在Linux环境中安装和配置Nginx服务器,特别是添加TCP支持Nginx是一款高性能的HTTP和反向代理服务器,常用于Web服务,它以其轻量级、高并发处理能力...
Nginx开启TLS双向认证流程及配置
最新发布
ChinaCpp666的博客
05-28 1605
是一种可选的优化方案,可以减少握手的长度。它通常用于客户端和服务器之间已经建立了信任的情况下。是客户端和服务器共同协商生成的一个用于加密通信数据的对称密钥。是临时性的,只在会话期间存在,不会存储在客户端或服务器上。的长度通常为256位,但这取决于所使用的密码套件。被泄露,攻击者可能会窃听或篡改通信数据。是否会存储在客户端或服务器上?被泄露,会有什么后果?在TLS握手过程中,
Nginx - 四层代理TCP配置SSL加密访问
小工匠
05-19 1283
``nginxstream {# 定义 upstream,指向 Redis 服务# 日志配置# SSL代理本地服务器server {# 监听 8100 端口,并开启 SSL# 访问日志路径# SSL 证书路径# SSL 证书私钥路径# 设置 SSL 协议版本# 启用 SSL 会话重用MD5;# SSL 加密算法# SSL 会话缓存# SSL 会话超时时间# 代理到 Redis 服务# 模拟客户端解密,对外暴露server {# 监听 8104 端口# 访问日志路径。
学习Nginx(十四):配置SSL/TLS支持HTTPS
Linux技术宅
05-25 859
学习Nginx(十四):配置SSL/TLS支持HTTPS。
Nginx设置TCP上游服务器的SSL配置
YunWisdom
11-22 4032
Nginx设置TCP上游服务器的SSL配置 本文介绍了如何为NGINX Plus和接受TCP连接的负载均衡的服务器组设置SSL 什么是SSL终端 SSL终端意味着NGINX Plus充当与客户端连接的服务器端SSL端点:它执行对请求的解密和对响应的加密,否则后端服务器就必须这样做。该操作称为终止,因为NGINX Plus关闭了客户端连接,并通过新创建的未加密连接将客户端数据转...
Nginx配置https
mocoll的博客
03-04 2009
然后找到压缩包选择nginx的将这两个传到服务器中的conf目录下,当然,可以传到其他目录,只需要修改一下配置文件的路径就行。
手把手教你Nginx常用模块详解之ngx_stream_ssl_module(七)
菜鸟路上的小白
08-14 3057
ssl_client_cert以建立的SSL连接的PEM格式返回客户端证书,每行除第一行加上制表符(1.11.8);$ssl_client_i_dn根据RFC 2253(1.11.8),为建立的SSL连接返回客户端证书的“颁发者DN”字符串;$ssl_client_raw_cert以建立的SSL连接(1.11.8)的PEM格式返回客户证书;$ssl_client_s_dn根据RFC 2253(1.11.8)返回已建立的SSL连接的客户端证书的“主题DN”字符串;启用客户端证书的验证。............
nginx无证书代理http/https协议两种解决方案——筑梦之路
筑梦之路
12-01 1万+
原理:一般的nginx代理https请求是需要配置ssl证书信息的,走的是七层协议,而stream模块走的是四层协议,在没有第三方证书的情况下一般的nginx代理是无法满足需求的。 操作系统:centos7 nginx版本:1.9.9 nginx官网不同版本下载地址:http://nginx.org/download/ 模块下载:https://github.com/openresty 官网说明: http://nginx.org/en/docs/stream/ngx_stream_core_mo
nginxTCP方向代理插件
12-16
然而,Nginx默认并不支持TCP层的代理,对于需要在TCP层面进行转发的应用,如MySQL、Redis等数据库连接或SMTP邮件服务,就需要借助特定的插件来实现。本文将详细介绍NginxTCP方向代理插件,以及如何进行安装配置。 ...
TCP_UDP对结构体加密数据传输
09-25
TCP,UDP混合传输过程中绑定不同的端口,server和client相当与采用异步方式对结构体数据进行传输,两个简单的混合加密只采用了其中之一,给出两个大数的指数幂函数与取模函数。对于server端的同步方式应可采用SOCK链表与建立一处理类。
nginx 代理80端口转443端口的实现
01-09
在本文中,我们将深入探讨如何使用Nginx配置代理,以将80端口的HTTP请求转换为443端口的HTTPS请求。这通常是为了实现网站的安全加密,...同时,了解并掌握Nginx的其他配置技巧对于提升Web服务的性能和安全性至关重要。
nginx-1.16.1-TLS1.3-http2
01-05
在 `nginx-1.16.1` 版本中,引入了对 TLS 1.3 和 HTTP/2 的支持,进一步提升了其性能和安全性。 **TLS 1.3:安全通信的最新标准** 传输层安全(Transport Layer Security, TLS)协议是保障网络数据传输安全的重要...
nginx代理.docx
05-17
4. **邮件代理服务**:Nginx 支持 IMAP/POP3/SMTP 代理,包括 STARTTLS 和 STLS 协议,实现安全的邮件通信,并支持多种认证方式。 ### 配置示例 ```nginx http { upstream backend { server backend1.example....
Nginx 中文版学习指南
12-22
4. **SSL/TLS 加密**:Nginx可以处理SSL/TLS握手,减轻后端服务器的加密计算负担。 **三、高级特性** 1. **HTTP、TCP 和 UDP 负载均衡**:Nginx 不仅支持HTTP协议,还可以处理TCP和UDP流,适用于非HTTP应用如DNS、...
TCP协议
qq_60338902的博客
08-11 405
在Header中,我们会保存payload中第一个字节的数据(SN编号),这样编号就变得可用了,在我们发送的时候,发送这个字节数据即可,segent会承担payload的长度。滑动窗口存在于发送缓冲区,我们应用层会把所有需要发送的数据放入缓冲区,然后我们滑动窗口就是在这个数据中的一个窗口,但大小由接收缓冲区的window决定,会实时变化。此处的检验和不光 包含TCP首部,也包含TCP数据部分。我们讲的广义上的流量控制,是通过对方的接收能力和网络承载能力来动态的调节自己的发送流量,以此来提高到达率。...
Centos7安装nginx
少年与梦
11-02 128
  一. gcc 安装 安装 nginx 需要先将官网下载的源码进行编译,编译依赖 gcc 环境,如果没有 gcc 环境,则需要安装: yum install gcc-c++ 二. PCRE pcre-devel 安装 PCRE(Perl Compatible Regular Expressions) 是一个Perl库,包括 perl 兼容的正则表达式库。nginx 的 http 模块使用...
nginx无证书情况用stream模块反向代理https网站
热门推荐
04-09 1万+
公司研发一般在内网环境下,但是开发时需要调用某些第三方接口。 这时可以用一台服务器做nginx反向代理,然后研发机器修改host文件将域名指向服务器即可实现代理转发。 但是普通的nginx http反向代理代理https时需要配置证书,我们不可能有第三方接口域名的证书,所以要使用nginx 的stream模块。 普通的nginx反向代理时第七层代理,而stream模块是第四层代理,转发的tc...
nginx 配置 tcp代理
07-08
要配置 Nginx 作为 TCP 代理,可以按照以下步骤进行操作: 1. 编辑 Nginx 配置文件,例如 `/etc/nginx/nginx.conf`。 2. 在 `http` 块中添加 `stream` 块,用于配置 TCP 代理,例如: ``` http { # ... stream { server { listen 12345; proxy_pass backend_servers; } } } ``` 3. 在 `stream` 块中定义 `server` 块,用于配置代理服务器的监听端口和后端服务器的地址。 4. 在 `server` 块中使用 `proxy_pass` 指令指定后端服务器的地址和端口。 5. 保存配置文件并重新加载 Nginx 配置,例如执行命令:`nginx -s reload`。 需要注意的是,Nginx 作为 TCP 代理时不能使用 HTTP 相关的指令,例如 `proxy_set_header` 等,只能使用 TCP 相关的指令,例如 `proxy_timeout` 等。另外,Nginx 作为 TCP 代理支持 SSL 加密,如果需要加密通信,需要在后端服务器上使用 SSL/TLS

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值