使用nginx作为HTTPS正向代理服务器(七层透传代理、中间人代理)

【前言】

在讲解nginx正向代理https之前,我们先来解答几个小疑问。

1、nginx是什么?

       Java同学肯定知道apache服务器,一个很牛,但是也很庞大的web服务器。能当web服务器的不仅仅只有apache,还有一个小巧轻快,高性能的家伙,它就是nginx。

       百度百科的解释是:nginx是一个高性能的http和反向代理服务器,同时也提供了imap/pop3/smtp服务。其特点是占有内存少,并发能力强。在咱们大中华大陆地区,百度、京东、新浪、网易、腾讯、淘宝都用了nginx,可见它有多受大家的欢迎。

       大家都知道它是一个反向代理服务器,其实它也可以作为一个正向代理服务器。虽然nginx官方并没有提供http connect方法,但是nginx扩展性特别好,有大佬造出了ngx_http_proxy_connect_module模块(点击可以去到对应的github)来支持http connet方法,如此一来,它就可以正向代理http以及https了。本文着只讲nginx正向代理https,其余的等有时间再更新吧。

 

2、什么是nginx正反向代理?

正向代理:客户发送请求给代理服务器,代理服务器代替客户把请求发送给服务器,即正向代理是代理的客户端。

反向代理:代理服务器将收集到的请求分发给服务器,服务器处理完请求将结果返回给代理服务器,再由代理服务器将结果返回给客户端,即反向代理是代理的服务端。

详细讲解nginx正反向代理可以看这里:看了这篇你就彻底了解nginx的正方向代理啦~

3、https是什么?

       https其实就是http+tls/ssl的简称,tls从某种意义来说就是ssl3.1版本,ssl是在应用层和传输层中间加的一个套接层,即加密在传输层和应用层之间传输的数据。详情请点击这里:看完这篇你就了解HTTPS、TLS、SSL啦~

4、https建立连接过程是怎样的?

       客户端发起https连接--->服务端发送证书-->客户端验证服务端发来的证书(验证证书-->生成随机数-->生成握手信息hash值)-->服务端接收随机数加密的信息-->服务端验证握手信息是否被篡改-->客户端验证服务端发送回来的握手信息,完成握手

详细连接过程可以看这里:HTTPS建立连接详细过程

5、为什么需要https代理?

       了解完https连接过程后会你可能有一个疑问,我客户端为什么需要一个nginx的代理服务器去正向代理https呢?我输入了域名后,直接去DNS服务器获取服务端IP,然后直接连接它的443端口不就行了吗?对,你说的都对,但是,问题就出在直接连接它的443端口”,如果我不能直接连接它的443端口呢?甚至,我如果连Ping都Ping不通服务端呢?那怎么办?这时候,你就需要一台能够代替你,去连接服务端的服务器了。

       这个代理服务器,目前常见的有用apache搭建的代理服务器、用nginx搭建的代理服务器。今天这篇文章我只讲nginx代理服务器,这俩货到底有什么区别,谁更合适什么场景,之后有时间再进行详细讲解吧。

【正文】

HTTPS/HTTP的正向代理从客户端是否有感知可以分为以下两种:

普通代理客户端在浏览器自己配置代理的端口和地址。

透明代理客户端无需做代理设置,于客户而已是无感的,企业中的web网关设备就是如此。

 

HTTPS/HTTP的正向代理从代理服务器是否需要解密HTTPS可以分为以下两种:

隧道代理(透传)只在TCP协议之上进行透传HTTPS流量,并不对流量进行解密分析,客户端相当于直接和目的服务器进行TLS/SSL交互。

中间人代理:看到中间人我瞬间联想到了中间人攻击,这个原理也可以说类似吧,代理服务器将客户端发来的HTTPS流量进行解密,对客户端利用自签名证书完成TLS/SSL握手,这个时候代理服务器拿到了客户端访问服务端的HTTPS流量内容,再和服务端完成正常的TLS/SSL交互。

注:这种情况客户端在TLS握手阶段实际上是拿到的代理服务器自己的自签名证书,证书链的验证默认不成功,需要在客户端信任代理自签证书的Root CA证书。所以过程中是客户端有感的。如果要做成无感的透明代理,需要向客户端推送自建的Root CA证书,在企业内部环境下是可实现的。

n       ginx代理https的方式都属于透传,也就是透明传输,不对传输的流量(数据包)进行解密。

http connect 隧道

       七层解决方案是在应用层来进行解决的,并不存在对数据包进行解密的一个过程。它需要通过http connect来建立一个隧道(通俗理解就是一个指定的用来连接的通道),这里需要在客户端配置https代理服务器的ip和端口

具体连接过程如下:

1、客户端给代理服务器发送http connect请求,并将要访问的url一并发给代理服务器;

2、代理用客户端发来的url去到dns服务器找到对应的ip,连上443端口;

3、代理连上服务端443端口后,给客户端发送一个HTTP/1.1 200 Connection Established(即http200响应);

4、此时客户端和代理服务器成功建立一个http connect隧道;

5、客户端发送https流量给到代理服务器,代理服务器直接将此https流量直接发送给到服务器;

至此,整个七层的http connect隧道就建立成功,换句话说就是成功搭建了nginx正向代理https服务。

流程图如下:

 

nginx正向代理https七层方案配置

       在前言已跟大家介绍,nginx官方并未提供http connect方法,但是github上已有相关模块,可以自行下载安装ngx_http_proxy_connect_module

【添加gx_http_proxy_connect_module模块步骤】

对于已经编译安装完的nginx环境,加入此模块步骤如下

# 确定已安装git应用

[root@hobby ~]# yum install -y git

# 从git上下载此模块

[root@hobby ~]# git clone https://github.com/chobits/ngx_http_proxy_connect_module.git

# 确定模块下载存放的路径

[root@hobby ngx_http_proxy_connect_module]# pwd

/root/ngx_http_proxy_connect_module

# 停止nginx

[root@hobby ~]# systemctl stop nginx.

# 备份原nginx执行

[root@hobby ~]# cp /usr/local/nginx/sbin/nginx /usr/local/nginx/sbin/nginx.bak

# 进到nginx源代码文件夹

[root@hobby ~]# cd /root/nginx-1.16.0

# 然后生成makefile,为编译做准备

[root@hobby nginx-1.16.0]# ./configure --user=www --group=www --prefix=/usr/local/nginx --with-http_ssl_module --with-http_stub_status_module --with-http_realip_module --with-threads --add-module=/root/ngx_http_proxy_connect_module

# 进行编译,切记,不要安装,即不要make install

[root@hobby nginx-1.16.0]# make

# 将生成的nginx可执行文件拷贝到原来的位置,覆盖原来的文件

[root@hobby nginx-1.16.0]# cp objs/nginx /usr/local/nginx/sbin/nginx

【七层方案nginx.conf文件配置】

server {
     listen 443 ssl;
     resolver 114.114.114.114;
     proxy_connect;
     proxy_connect_allow           443;
     proxy_connect_connect_timeout  10s;
     proxy_connect_read_timeout     10s;
     proxy_connect_send_timeout     10s;

    location / {
            proxy_pass https://$host;
            proxy_set_header Host $host;
        }
}

 

【中间人代理】

       从传输层透传应用层的流量,那么可不可以不建立http connect,将域名直接dns解析到代理服务器呢?随着时代的变迁,技术的发展,nginx的更新,这一切当然是可以的~

       nginx自战斗民族的老铁2004年发布以来,一直在不断的进步,到1.9.0版本开始支持ngx_stream_ssl_module模块了,编译安装并不会默认安装,需要带上--with-stream,yum会默认安装这个模块。

       那么这个时候问题来了,没了http connect,要怎么做呢?首先,在内网中,将dns域名解析到代理服务器上,这个时候你会问,解析到代理服务器上?客户端发送的可是https流量,代理没有ca证书,怎么解开?怎么可能读取https里面的信息呢?这个问题问的非常有水平,作为一名还未入流的白帽子,第一想法就是,既然没有,那就造一个噻。代理服务器和客户端商量好,你只要信任我的证书,直接把https流量发送给我,我帮你(假装是你)传达给你想传达但又没法直接传达的人(即服务端)。至于如何自建ca证书,请移步这里Openssl 自签CA根证书、SSL证书(单域名签发)Openssl自签CA根证书、SSL证书(多域名签发)

具体流程请看下图:

                                                                         【中间人代理https配置】

server {
    listen 443 ssl;
    server_name scwipe.cn;
           ssl_certificate     /etc/nginx/ca/scwipe.pem;
           ssl_certificate_key /etc/nginx/ca/scwipe.key;

           ssl_protocols    SSLv3 TLSv1 TLSv1.1 TLSv1.2;

           ssl_ciphers      ALL:!ADH:!EXPORT56:RC4+RSA:+HIGH:+MEDIUM:+LOW:+SSLv2:+EXP;
           ssl_prefer_server_ciphers on;
           ssl_session_timeout  10m;
           ssl_session_cache shared:SSL:10m;
           ssl_session_tickets off; # Requires nginx >= 1.5.9


        location / {
            proxy_redirect https://scwipe.cn/    /;
            proxy_pass https://scwipe.cn;
            proxy_set_header Host $host;
            proxy_set_header X-Real-IP $remote_addr;
            proxy_set_header REMOTE-HOST $remote_addr;
            proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
        }
}

 

 

评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

hobby云说

你的鼓励将是我最大的动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值