前言
本文解释了怎么对nginx和后端服务器组或代理服务器进行加密http通信。
内容提纲
- 前提条件
- 获取SSL服务端证书
- 获取SSL客户端证书
- 配置nginx
- 配置后端服务器
- 完整示例
前提条件
- nginx源码或nginx plus源码
- 一个代理服务器或一个代理服务器组
- SSL证书和私钥
获取SSL服务端证书
你可以从一个可信证书颁发机构(CA)购买一个服务器证书, 或者你可以使用openssl库创建一个内部CA, 并给自己颁发证书。这个服务器端证书和私钥需要部署在后端的每一个服务器上。
获取SSL客户端证书
nignx使用一个SSL客户端证书来对后端服务器组来标识自己。这个客户端证书必须是被一个可信CA签名的,并且和相匹配的私钥一起部署在nginx中。
你还需要在后端服务器上配置好所有的来源SSL连接都需要客户端证书,并信任这个CA颁发的nginx客户端证书。 然后当nginx连接后端时,将提供客户端证书,并且后端将会接收这个连接。