利用Nginx配置反向代理

已于 2022-03-29 14:24:53 修改
阅读量3.2k 收藏
点赞数 1
分类专栏: 运维 文章标签: nginx
于 2022-03-29 13:18:05 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_44484793/article/details/123818941
版权

自签发SSL证书

将ssl证书统一存放在nginx配置目录下的ssl目录

[root@Jumper ~]# cd /etc/nginx/
[root@Jumper nginx]# mkdir ssl
[root@Jumper nginx]# cd ssl/

生成CSR请求文件

[root@Jumper ssl]# openssl genrsa -out sk3-9-ucss1.key 2048
[root@Jumper ssl]# openssl req -new -key sk3-9-ucss1.key -out sk3-9-ucss1.csr

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-TyxJFSwk-1648530935744)(利用Nginx配置反向代理.assets/image-20220107133615362.png)]

使用CA的key为服务器签发证书

[root@Jumper ssl]# openssl ca -policy policy_anything -days 3650 -cert adca.crt -keyfile adca.key -in sk3-9-ucss1.csr -out sk3-9-ucss1.crt

创建/etc/pki/CA/index.txt

[root@Jumper ssl]# openssl ca -policy policy_anything -days 3650 -cert adca.crt -keyfile adca.key -in sk3-9-ucss1.csr -out sk3-9-ucss1.crt
Using configuration from /etc/pki/tls/openssl.cnf
/etc/pki/CA/index.txt: No such file or directory
unable to open '/etc/pki/CA/index.txt'
140661571356560:error:02001002:system library:fopen:No such file or directory:bss_file.c:402:fopen('/etc/pki/CA/index.txt','r')
140661571356560:error:20074002:BIO routines:FILE_CTRL:system lib:bss_file.c:404:

用来跟踪已颁发的证书

[root@Jumper ssl]# touch /etc/pki/CA/index.txt

创建/etc/pki/CA/serial文件

[root@Jumper ssl]# openssl ca -policy policy_anything -days 3650 -cert adca.crt -keyfile adca.key -in sk3-9-ucss1.csr -out sk3-9-ucss1.crt
Using configuration from /etc/pki/tls/openssl.cnf
/etc/pki/CA/serial: No such file or directory
error while loading serial number
139871168038800:error:02001002:system library:fopen:No such file or directory:bss_file.c:402:fopen('/etc/pki/CA/serial','r')
139871168038800:error:20074002:BIO routines:FILE_CTRL:system lib:bss_file.c:404:

用来跟踪最后一次颁发的证书的序列号

[root@Jumper ssl]# echo "01" > /etc/pki/CA/serial

最后把CA证书的内容粘贴到签发的SSL证书后面。这个比较重要!因为不这样做,可能会有某些浏览器不支持。

关闭SELinux

获取当前的SELinux状态

[root@Jumper ssl]# getenforce 
Enforcing

临时关闭SELinux

[root@Jumper ssl]# setenforce 0

永久关闭SELinux,修改为下面

[root@Jumper ssl]# cat /etc/selinux/config | grep -v '^#' | grep -v '^$'
SELINUX=disabled
SELINUXTYPE=targeted

配置Nginx的https的反向代理

新建配置文件

[root@Jumper conf.d]# pwd
/etc/nginx/conf.d    # 切换到该目录
[root@Jumper conf.d]# cat sk3-9-ucss1.conf  # 在sk3-9-ucss1.conf中配置如下内容
server {
    listen 443 ssl;
    server_name sk3-9-ucss1.wlinux.com.cn;   # 映射处理的域名
    ssl_certificate /etc/nginx/ssl/sk3-9-ucss1.crt;
    ssl_certificate_key /etc/nginx/ssl/adca.key;
    underscores_in_headers on;   # 必须设置该项
    location / {
        proxy_pass https://192.168.8.1:8447/;   # 指定后端真实服务器的访问链接
    }
}

重新加载nginx配置:

[root@Jumper ssl]# nginx -t            # 检查nginx的配置
[root@Jumper ssl]# nginx -s reload     # nginx实现热加载

附录

证书签发问题

1.问题:TXT_DB error number 2
解决:原因是已经生成了同名证书,将 common name 设置成不同,或修改 CA 下的 index.txt.attr,将 unique_subject = yes 改为 unique_subject = no

NET::ERR_CERT_COMMOM_NAME_INVALID

生成证书的时候没有加上备用名称字段,目前的浏览器校验证书都需要这个字段。

[root@Jumper ssl]# cat sk3-9-ucss1.cnf 
basicConstraints = CA:FALSE
keyUsage = nonRepudiation, digitalSignature, keyEncipherment
subjectAltName = @alt_names
[alt_names]
DNS.1 = sk3-9-ucss1.wlinux.com.cn
DNS.2 = sk3-9-ucss1
IP.1 = 172.22.80.205
IP.2 = 192.168.8.1

多个域名或IP依次填写即可

重新签发证书:

[root@Jumper ssl]# openssl x509 -req -in sk3-9-ucss1.csr -CA adca.crt -CAkey adca.key -CAcreateserial -out sk3-9-ucss1.crt -days 3650 -sha256 -extfile sk3-9-ucss1.cnf

NET::ERR_CERT_DATE_INVALID

自签证书时间不得大于39个月,建议取3年为好。

wlinux11
关注
专栏目录
利用Nginx反向代理解决跨域问题详解
01-10
问题 在之前的分享的跨域资源共享的文章中,有提到要注意跨域时,如果要发送Cookie,Access-Control-Allow-Origin就不能设为*,必须指定明确的、与请求网页一致的域名。在此次项目开发中与他人协作中就遇到此类问题。 解决思路 一般来说,与后台利用CORS跨域资源共享将Access-Control-Allow-Origin设置为访问的域名即可,这个需要后台的配合,且有些浏览器是不支持的。 基于与合作方后台的配合,利用nginx方向代理来满足浏览器的同源策略来实现跨域 实现方法 反向代理概念 反向代理(Reverse Proxy)方式是指以代理服务器来接受In
Windows版本的Nginx+rtmp+hls服务器代码
07-26
这是公司做得直播服务器的代码,里面包含 已经移植到WINDOWS的 NGINX 和 RTMP,HLS 代码,vs2013 打开解决方案直接编译就可以通过,DLL我都放里面了,CONF配置文件也在里面,直接运行都可以,外面推流进去就可以实现直播功能。
NginxPwner 使用指南
最新发布
gitblog_01032的博客
08-09 478
NginxPwner 使用指南 nginxpwnerNginxpwner is a simple tool to look for common Nginx misconfigurations and vulnerabilities.项目地址:https://gitcode.com/gh_mirrors/ng/nginxpwner 1. 项目目录结构及介绍 NginxPwner 是一个用于检测 ...
nginx反向代理来访问防外链图片
weixin_33744854的博客
06-12 846
nginx反向代理来访问防外链图片 女儿的博客从新浪搬到wordpress后,发现原来博客上链接的新浪相册的图片都不能访问了,一年的博客内容,一个个去重新上传图片,修正链接也是个大工程。还是得先想个其它办法。 想想防外链大都是通过检查请求中的http referer来实现的。如果通过反向代理来动态指定http referer是不是可以解决问题。马上做实验,没错,方法对新浪相册用效。 那接...
浅谈nginx 反向代理
小乙先生的博客
04-13 1148
一、nginx科普:Nginx(engine x) 是一个高性能的HTTP和反向代理服务器,也是一个IMAP/POP3/SMTP服务器。Nginx是由伊戈尔·赛索耶夫为俄罗斯访问量第二的Rambler.ru站点(俄文:Рамблер)开发的,第一个公开版本0.1.0发布于2004年10月4日。其将源代码以类BSD许可证的形式发布,因它的稳定性、丰富的功能集、示例配置文件和低系统资源的消耗而闻名。...
mkcert生成本地SSL证书+Nginx搭建HTTPS,并反向代理到web页面
苏一恒
07-07 2023
以下操作皆在mac环境下,win朋友请自行调整命令。 生成证书 安装mkcert brew install mkcert brew install nss # if you use Firefox 生成根证书 mkcert -install 通过“钥匙串访问.app”搜索mkcert,并信任证书。 生成个人证书 mkcert my.com localhost 127.0.0.1 证书文件在执行目录中,成功创建之后,会在该目录下生成如下两个文件: 证书 XXX.pem 私钥 XXX-key.pem Ng
HLS-搭建Nginx流媒体服务器
phymat.nico的专栏
11-22 189
https://www.cnblogs.com/xuey/p/9244434.html
利用SSL配置Nginx反向代理的简单步骤
01-09
我们已经讨论过如何使用Nginx配置简单的http反向代理。在本教程中,我们将讨论如何使用SSL配置Nginx反向代理。因此,让我们从使用SSL配置Nginx反向代理的过程开始。 先决条件 1.后端服务器:为了本教程的目的,我们...
Cobalt_Strike_C2隐匿多级nginx反向代理1
08-03
1. 在第一层 Nginx 反向代理节点(例如:21.67.38.47)上配置 Nginx,设置监听 80 端口,并将所有流入的 80 端口流量转发到第二层 Nginx 反向代理的域名(如 host.second.com:80)。 ``` upstream default_pools...
nginx反向代理时如何保持长连接
01-09
2. 在Nginx配置中设置适当的`keepalive_timeout`和`keepalive_requests`,以适应不同的QPS需求。 3. 在`upstream`配置中设置`keepalive`,控制与后端服务器的连接池大小,以优化连接管理。 通过以上配置,可以有效...
nginx反向代理导致session失效的问题解决
09-29
在本文中,我们将深入探讨一个常见的问题:如何解决由Nginx反向代理导致的...在遇到类似问题时,开发者应首先检查Nginx配置和后端服务器的Session管理设置,寻找可能的路径不匹配问题,并利用Nginx提供的工具进行修复。
nginx lua插件对skywalking支持用户手册(1).docx
03-19
skywalking对nginx进行链路追踪拦截的说明,已经如何配置的文档
nginx配置jumpserver域名登陆
qq_23605089的博客
03-26 664
nginx配置jumpserver域名登陆
nginx实现四层反向代和FASTCGI反向代理Nginx二次开发版
cp_dvd的博客
09-20 2045
Nginx在1.9.0版本开始支持tcp模式的负载均衡,在1.9.13版本开始支持udp协议的负载,udp主要用于DNS的域名解析,其配置方式和指令和http 代理类似,其基于ngx_stream_proxy_module模块实现tcp负载,另外基于模块ngx_stream_upstream_module实现后端服务器分组转发、权重分配、状态测、调度算法等高级功能。如果编译安装,需要指定 --with-stream 选项才能支持ngx_stream_proxy_module模块加在最外面。
jumpservernginx转发后提示:Connect websocket server error
icanflying的博客
01-11 9528
安装后jumpserver选择自定义端口,http 80端口改为88,再通过nginx转发记得都要设置 Nginx 的 Upgrade,否则会提示:Connect websocket server error nginx配置如下: ##Jump server { listen 80; server_name jump.xxxxxx.cn; location / { proxy_pass http://127.0.0.1:88; proxy_http_version ...
Jumpserver堡垒机
weixin_46389787的博客
03-24 1123
Jumpserver简介: 跳板机概述: 跳板机就是一台服务器,开发或运维人员在维护过程中首先要统一登录到这台服务器,然后再登录到目标设备进行维护和操作。 跳板机缺点: 没有实现对运维人员操作行为的控制和审计,使用跳板机的过程中还是会出现误操作、违规操作导致的事故,一旦出现操作事故很难快速定位到原因和责任人; 堡垒机概述: 堡垒机,即在一个特定的网络环境下,为了保障网络和数据不受来自外部和内部用户...
浅析Nginx实现反向代理、负载均衡、动静分离
热门推荐
1 Byte 的博客
11-28 1万+
1、首先来了解一下Nginx配置文件中的内容 主要包含三部分内容: (1)全局块:配置服务器整体运行的配置指令,比如 worker_processes 1; 处理并发数的配置 (2)events 块 :影响 Nginx 服务器与用户的网络连接,比如 worker_connections 1024; 支持的最大连接数为 1024 (3)http 块:还包含两部分:http全局块(ngin...
Nginx Window版教程
Janson_Lin
07-23 1238
一、Nginx简介 Nginx (engine x) 是一个高性能的HTTP和反向代理服务器,也是一个IMAP/POP3/SMTP服务器。 它也是一种轻量级的Web服务器,可以作为独立的服务器部署网站(类似Tomcat)。它高性能和低消耗内存的结构受到很多大公司青睐,如淘宝网站架设。 先下载直接去官网nginx.org 分别有Linux和Windows两个版本 点击后就会下载,下载完成后开始安装,其实官网已经告诉了如何安装,右侧“documentation -> nginx wind
Ajaxterm + nginx 实现一个简单的堡垒机
zhang19771105的博客
01-11 2900
首先感谢老男孩提供Ajaxterm修改本,他修改了Ajaxterm中ajaxterm.py,使得Ajaxterm 能记录历史命令,该记录保存在Ajiaxterm目录当中。 原理:Ajaxterm 是一个web shell ,可在本地通过web登录本地系统。利用nginx的反代理,使得Ajaxterm 能远程登录系统。我们要做的就是在堡垒机中实现一个简单的用户shell,其它用户登录堡垒机
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值