Nginx 管理 SSL 流量 - 加密 NGINX 和 upstream 服务器组之间的 HTTP 流量

最新推荐文章于 2023-12-25 17:06:11 发布
最新推荐文章于 2023-12-25 17:06:11 发布
阅读量3.2k 收藏 2
点赞数
分类专栏: Nginx 文章标签: nginx

原文地址

1. 先决条件 Prerequisites

  • Nginx 或 Nginx Plus。
  • 一台代理服务器或一组 upstream 服务器。
  • SSL 证书和私钥。

2. 获取 SSL 的服务器证书

可以从可信的证书颁发机构(certificate authority,CA)购买证书,或通过 OpenSSL 库自己创建证书。服务器证书和私钥应该被放到每一台 upstream 服务器上。

3. 获取 SSL 的客户端证书

Nginx 通过使用 SSL 客户端证书向 upstream 服务器标识自己。客户端证书必须由可信的 CA 签名,并且和相对应的私钥一起放置在 Nginx 上。
还需要配置 upstream 服务器来为所有的 SSL 入口连接获取客户端证书,并且信任颁发 Nginx 客户端证书的CA。然后,当 Nginx 连接到 upstream 服务器时,会一并提供客户端证书,upstream 服务器会接受这个证书。

4. 配置 Nginx

首先将连接到 upstream group 的 URL 改为支持 SSL 连接。在 Nginx 配置文件中,通过 proxy_pass 指令为代理服务器或一个 upstream group 指定 https 协议:

location /upstream {
    proxy_pass https://backend.example.com;
}

通过 proxy_ssl_certificateproxy_ssl_certificate_key 指令为每一台需要认证 Nginx 的 upstream server 添加客户端证书和私钥:

location /upstream {
    proxy_pass                https://backend.example.com;
    proxy_ssl_certificate     /etc/nginx/client.pem;
    proxy_ssl_certificate_key /etc/nginx/client.key
}

如果为一个 upstream 或自己的 CA 使用自己签名的证书,需要包含 proxy_ssl_trusted_certificate 指令,其指定的证书文件必须是 PEM 格式。还可以通过 proxy_ssl_verify 指令和 proxy_ssl_verfiy_depth 指令检查安全证书的有效性:

location /upstream {
    ...
    proxy_ssl_trusted_certificate /etc/nginx/trusted_ca_cert.crt;
    proxy_ssl_verify       on;
    proxy_ssl_verify_depth 2;
    ...
}

每个新建立的 SSL 连接都需要一次客户端和服务器之间完整的 SSL 握手流程,这十分消耗 CPU。通过 proxy_ssl_session_reuse 指令可以让 Nginx 代理提前协商好连接参数并使用所谓的缩略握手(abbreviated handshake):

location /upstream {
    ...
    proxy_ssl_session_reuse on;
    ...
}

还可以指定使用哪个 SSL 协议,哪个 cipher:

location /upstream {
        ...
        proxy_ssl_protocols TLSv1 TLSv1.1 TLSv1.2;
        proxy_ssl_ciphers   HIGH:!aNULL:!MD5;
}

5. 配置 Upstream 服务器

每台 upstream 服务器都应该被配置为接受 HTTPS 连接,通过ssl_certificate 指令和 ssl_certificate_key 指令指定服务器证书和私钥:

server {
    listen              443 ssl;
    server_name         backend1.example.com;

    ssl_certificate     /etc/ssl/certs/server.crt;
    ssl_certificate_key /etc/ssl/certs/server.key;
    ...
    location /yourapp {
        proxy_pass http://url_to_app.com;
        ...
    }
}

通过ssl_client_certificate 指令指定服务器证书和私钥:

server {
    ...
    ssl_client_certificate /etc/ssl/certs/ca.crt;
    ssl_verify_client      off;
    ...
}

6. 完整示例

http {
    ...
    upstream backend.example.com {
        server backend1.example.com:443;
        server backend2.example.com:443;
   }

    server {
        listen      80;
        server_name www.example.com;
        ...

        location /upstream {
            proxy_pass          https://backend.example.com;
            proxy_ssl_certificate         /etc/nginx/client.pem;
            proxy_ssl_certificate_key     /etc/nginx/client.key
            proxy_ssl_protocols           TLSv1 TLSv1.1 TLSv1.2;
            proxy_ssl_ciphers             HIGH:!aNULL:!MD5;
            proxy_ssl_trusted_certificate /etc/nginx/trusted_ca_cert.crt;

            proxy_ssl_verify        on;
            proxy_ssl_verify_depth  2;
            proxy_ssl_session_reuse on;
        }
    }

    server {
        listen      443 ssl;
        server_name backend1.example.com;

        ssl_certificate        /etc/ssl/certs/server.crt;
        ssl_certificate_key    /etc/ssl/certs/server.key;
        ssl_client_certificate /etc/ssl/certs/ca.crt;
        ssl_verify_client      off;

        location /yourapp {
            proxy_pass http://url_to_app.com;
        ...
        }

    server {
        listen      443 ssl;
        server_name backend2.example.com;

        ssl_certificate        /etc/ssl/certs/server.crt;
        ssl_certificate_key    /etc/ssl/certs/server.key;
        ssl_client_certificate /etc/ssl/certs/ca.crt;
        ssl_verify_client      off;

        location /yourapp {
            proxy_pass http://url_to_app.com;
        ...
        }
    }
}

这个例子中,proxy_pass 指令的 https 参数要求从 Nginx 转发到 upstream 服务器的流量需要加密。
当安全连接首次从 Nginx 转发到 upstream 服务器时,需要完整的握手流程。proxy_ssl_certificate 指令指明 upstream 服务器所需的 PEM 格式的证书位置。proxy_ssl_certificate_key 指令指明 upstream 服务器所需的私钥位置。proxy_ssl_protocols 指令和 proxy_ssl_ciphers 指令指明协议和 cipher。
当 Nginx 再次转发连接到 upstream 服务器时,因为 proxy_ssl_session_reuse 指令,session 参数会被再次使用,从而可以更快的建立安全连接。
proxy_ssl_trusted_certificate 指令指定受信任的 CA 证书所在的文件名,这个证书可用于验证 upstream 中的证书。proxy_ssl_verify_depth 指令指定检查证书链中的两个证书,proxy_ssl_verify 指令验证证书的有效性。

kikajack
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
nginx-http-flv-module-1.2.10(包含nginx-rtmp-module)
03-01
对于流媒体服务器,应配置SSL/TLS加密以保护传输数据,使用`auth_basic`和`auth_key_file`进行访问控制,防止未经授权的访问。 总之,Nginx-http-flv-module和nginx-rtmp-module的结合使用为搭建高效、稳定、跨平台...
nginx添加ssl模块的方法教程
09-30
Nginx作为一款高性能的HTTP和反向代理服务器,支持SSL模块,可以帮助我们实现HTTPS加密传输,保护用户数据的安全。本教程将详细介绍如何在已安装的Nginx上添加SSL模块。 首先,确认你的Nginx是否已经安装了SSL模块...
Nginx 负载均衡(upstream
最新发布
老猫喜欢今日爬山的博客
12-25 1833
严格的说,Nginx仅仅是作为Nginx Proxy反向代理使用的。普通的负载均衡软件,例如LVS,其实现的功能只是对请求数据包的转发(也可能会改写数据包)、传递,其中DR模式明显的特征是从负载均衡下面的节点服务器来看,接收到的请求还是来自访问负载均衡的客户端的真实用户。而反向代理不一样,反向代理接收访问用户的请求后,会代理用户重新发起请求代理下的节点服务器,最后把数据返回给客户端用,在节点服务器看来,访问的节点服务器的客户端就是反向代理服务器了,而非真是的网络用户。
nginx 使用upstream 模块实现负载均衡
CodingNoob
05-28 1273
最近在项目开发的时候遇到需要使用集群的配置,需要使用nginx做负载均衡,于是就研究了下如何使用nginx做这块的东西。 1、首先准备三台linux服务器做练习
Nginx设置TCP上游服务器SSL配置
YunWisdom
11-22 4042
Nginx设置TCP上游服务器SSL配置 本文介绍了如何为NGINX Plus和接受TCP连接的负载均衡的服务器组设置SSL 什么是SSL终端 SSL终端意味着NGINX Plus充当与客户端连接的服务器SSL端点:它执行对请求的解密和对响应的加密,否则后端服务器就必须这样做。该操作称为终止,因为NGINX Plus关闭了客户端连接,并通过新创建的未加密连接将客户端数据转...
反向代理,负载均衡,配置nginxssl
tanyyinyu的博客
10-21 498
反向代理的意义 正向代理的重心是放在客户端这边,客户端想访问一个服务,但是这个服务不能直接访问到,但是知道通过代理可以访问,这个代理实现了的功能是在中间中转客户端和服务端的通信。例子:如通过代理服务访问外国服务器。 反向代理的重心是放在服务器端这边。客户端想访问一个服务,就直接访问服务商提供的接口,接口自然会给客户端发送相应信息。看起来是直接的联系,没有代理关系。 但其实这个接口实际上...
Nginx负载均衡/SSL配置
FUYY'S BLOG
10-20 3086
什么是负载均衡? 当一个域名指向多台web服务器时,添加一台nginx负载均衡服务器,通过nginx负载均衡即可将来自于客户端的请求均衡的发送给每台web服务器,避免单台服务器负载过高而其余服务器较为空闲的不均衡情况出现 以www.baidu.com为例测试负载均衡: 在我本机上ping百度得到的地址为14.215.177.38:(广东广州电信) 通过ping.chinaz.com检测百度的其他...
nginx和tomcat配置SSL和负载均衡配置
04-15
Nginx 支持 SSL 加密是现代 Web 服务器的基本需求之一,确保数据传输的安全性。首先,我们需要确认当前安装的 Nginx 版本是否支持 SSL。可以通过以下命令查看 Nginx 的编译参数,从而判断是否支持 SSL: ```bash ...
nginx-1.23.4安装服务启动
05-03
2. **反向代理配置**:在Nginx配置文件中,可以通过定义upstream块来指定后端服务器组,然后在server块中使用proxy_pass指令将请求转发到上游。 3. **负载均衡**:Nginx可以根据不同的策略(如轮询、权重、最少连接...
nginx-1.14.2.tar.gz nginx-1.14.2下载
07-01
**Nginx 1.14.2 是一个流行的开源 Web 服务器和反向代理服务器,它以其高性能、稳定性以及低内存占用而闻名。在本文中,我们将详细探讨 Nginx 的核心特性、1.14.2 版本的重要更新、在64位Linux系统上的安装与配置,...
Nginx服务器中关于SSL的安全配置详解
09-30
主要介绍了Nginx服务器中关于SSL的安全配置详解,2014年曝出的SSL安全漏洞无疑为整个业界带来了巨大震动,本文便对此给出相关安全维护方法,需要的朋友可以参考下
nginxssl模块
d18631089566的博客
08-24 5859
PKI:公钥基础设施,主要功能是绑定证书持有者的身份和相关的密钥对(通过为公钥及相关的用户身份信息签发数字证书),5.客户机修改hosts文件,使用https://https.benet.com访问测试。并利用数字证书及相关的各种服务(证书发布,黑名单发布,时间戳服务等),8.模拟案例:配置https的blog、zh(web2和web1配置相同)选做。为用户提供方便的证书申请、证书作废、证书获取、证书状态查询的途径,https显示绿色,说明整个网站都是https的。https显示红色,证书不认或过期。
openresty中upstreamssl session reuse功能无法生效分析
相机的开关在哪里
04-03 709
最近做项目,以openresty为基础,在upstream侧通过nginx的指令开启SSL连接复用,但实际是不生效的,通过使用原生的程序nginx、openresty进行复现,明白了问题所在,也更加理解openresty与nginx的共性和特性。 自己在服务器中利用未经修改的nginx、openresty测试,编译的时候开启debug,能够在debug中看到upstream侧save、set se...
通过nginxupstream配置域名进行http/htts的访问最佳实践方案(406/404问题解决)
热门推荐
wx370092877的博客
08-05 1万+
记一次nginx代理通过upstream配置域名,访问http/https的最佳实践方案,最终成功解决nginx返回的406问题
nginx(六十八)proxy模块(八)nginx与上游的ssl握手
wzj_110的博客
11-27 4067
对上游使用证书(指定自身使用的证书)的SSL/TLS握手。nginx与后端选择。nginx作为客户端。④ 验证上游的证书。
Nginxhttp反向代理指令
qq_36532540的博客
06-22 413
1、nginxhttp反向代理指令非SSL部分 指令 说明 proxy_pass 指定上游 proxy_bind 连接绑定地址 proxy_buffer_size 接收响应头部缓存 proxy_connect_timeout 连接上游超时时间 proxy_ next_upstream 出错时更换上游 proxy_next_upstream_time 更换上游超时时间 proxy_next_upstream_tries 更换上游重试次数 proxy_read_ti
SpringBoot+Vue2前后端项目配置ssl证书
weixin_45974277的博客
07-29 6980
springboot项目配置ssl证书
nginx:对上下游使用SSL连接
error311的博客
06-27 2827
对下游使用证书 1.ssl_certificate 指令 语法:ssl_certificate file; 默认:空 放置位置:http,server 2.ssl_certificate_key 指令 语法:ssl_certificate_key file; 默认:空 放置位置:http,server 验证下游证书 1.ssl_verify_client 指令 语法:ssl_verify_client on | off | ...
Nginx https反向代理502错误,proxy_ssl_server_name、proxy_ssl_verify
zzhongcy的专栏
08-10 5773
Nginx作用反向代理与上游服务器使用HTTPS建连时,默认不启用SNI,使用参数启用;默认不验证上游服务器返回的证书,使用开启上游证书验证后Nginx会使用配置文件中指定的CA验证上游服务器返回证书的合法性,同时也会比对证书中的CommonName信息。
优化Web性能:Nginx HTTP服务器实战
"Nginx-HTTP-Server 是一本关于如何采用 Nginx 作为 web 应用服务器的书籍,旨在帮助读者充分利用基础设施,提高页面加载速度。由 Clément Nedelcu 编写,由 Packt Publishing 出版。" Nginx 是一个高性能的 HTTP ...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值