Nginx proxy_pass到https后端

已于 2023-07-05 18:01:13 修改
阅读量2.6k 收藏 6
点赞数 1
分类专栏: nginx 文章标签: 数据库
于 2023-06-30 15:09:24 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/zhangnero/article/details/131469760
版权

目录

生成证书(自签名证书需要)

配置NGINX

官网链接

使用SSL/TLS加密,确保NGINX或NGINX Plus与上游服务器之间的HTTP流量安全。
本文解释了如何加密NGINX和上游组或代理服务器之间的HTTP流量。

生成证书(自签名证书需要)

     1. 生成自签名CA证书。

openssl genrsa -out ca.key 2048
openssl req -new -key ca.key -out ca.csr
openssl x509 -req -sha256 -days 365 -in ca.csr -signkey ca.key -out ca.crt
  1. 生成客户端证书和密钥。
openssl genrsa -out client.key 2048
openssl req -new -key client.key -out client.csr
openssl x509 -req -sha256 -days 365 -in client.csr -CA ca.crt -CAkey ca.key -set_serial 01 -out client.crt
  1. 生成服务器证书和密钥。
openssl genrsa -out server.key 2048
openssl req -new -key server.key -out server.csr
openssl x509 -req -sha256 -days 365 -in server.csr -CA ca.crt -CAkey ca.key -set_serial 01 -out server.crt

配置NGINX

http {
    #...
    upstream backend.example.com {
        server backend1.example.com:443;
        server backend2.example.com:443;
   }

    server {
        listen      80;
        server_name www.example.com;
        #...

        location /upstream {
            proxy_pass                    https://backend.example.com;
            # 连接上游服务器时,供上游服务器验证的证书
            proxy_ssl_certificate         /etc/nginx/client.pem;
            proxy_ssl_certificate_key     /etc/nginx/client.key;
            proxy_ssl_protocols           TLSv1 TLSv1.1 TLSv1.2;
            proxy_ssl_ciphers             HIGH:!aNULL:!MD5;
            # // 验证上游服务器时,使用的ca证书
            proxy_ssl_trusted_certificate /etc/nginx/trusted_ca_cert.crt;

            proxy_ssl_verify        on;
            proxy_ssl_verify_depth  2;
            # 每次连接都需要完整的ssl握手,消耗cpu较大,加上此参数,可以复用连接,减少握手次数
            proxy_ssl_session_reuse on;
            proxy_ssl_server_name  on;
            # 次参数不是太懂
            proxy_ssl_name backend.example.com;
        }
    }

    server {
        listen      443 ssl;
        server_name backend1.example.com;

        ssl_certificate        /etc/ssl/certs/server.crt;
        ssl_certificate_key    /etc/ssl/certs/server.key;
        # 验证客户端使用的CA证书
        ssl_client_certificate /etc/ssl/certs/ca.crt;
        # 开启验证客户端
        ssl_verify_client      on;

        location /yourapp {
            proxy_pass http://url_to_app.com;
        #...
        }

    server {
        listen      443 ssl;
        server_name backend2.example.com;

        ssl_certificate        /etc/ssl/certs/server.crt;
        ssl_certificate_key    /etc/ssl/certs/server.key;
        ssl_client_certificate /etc/ssl/certs/ca.crt;
        ssl_verify_client      on;

        location /yourapp {
            proxy_pass http://url_to_app.com;
        #...
        }
    }
}

官网链接

官网文档

zhangnero
关注
  • 1
    点赞
  • 6
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
nginxproxy_pass代理后端https请求完全拆解
weixin_34278190的博客
08-19 2128
2019独角兽企业重金招聘Python工程师标准>>> ...
pesticide-docker:Bug跟踪和项目管理应用程序,dockerized
05-07
农药 一个干净且功能丰富的项目管理和错误跟踪应用程序。 查看更多屏幕截图 后端: ,具有用于API的和用于实时注释的 。 前端: ,具有和用于状态管理。 数据库管理: 。 简单,就可以了。 前端构建文件与NGINX一起提供,proxy_pass用于向后端的请求。 使用Docker进行容器化,并使用docker -compose进行容器编排。 专为IMG IIT Roorkee开发人员的2020年夏季项目而设计。 让农药成为您自己的! 克隆此存储库 在您选择的文件夹中(您想存储您的存储库的位置)打开终端。例如,如果要在主目录(〜)中克隆此项目,请输入以下命令: user@system: ~ $ git clone https://github.com/MihirSachdeva/pesticide-docker.git 然后移动到新创建的目录,名为“ pesticid
nginx反向代理 https内部定向到http报302问题解决方案,【亲测】
热门推荐
dinghuan2011的专栏
06-27 6万+
0. 环境信息Linux:Linux i-8emt1zr1 2.6.32-573.el6.x86_64 #1 SMP Wed Jul 1 18:23:37 EDT 2015 x86_64 x86_64 x86_64 GNU/Linuxnginxnginx version: openresty/1.9.3.2Tomcat:Server version: Apache Tomcat/7.0.64 1...
nginx-1.12.0.tar.gz
12-05
nginx-1.12.0.tar.gz 官方下载 nginx负载均衡的5种策略(转载) nginx可以根据客户端IP进行负载均衡,在upstream里设置ip_hash,就可以针对同一个C类地址段中的客户端选择同一个后端服务器,除非那个后端服务器宕了才会换一个。 nginx的upstream目前支持的5种方式的分配 1、轮询(默认) 每个请求按时间顺序逐一分配到不同的后端服务器,如果后端服务器down掉,能自动剔除。 upstream backserver { server 192.168.0.14; server 192.168.0.15; } 2、指定权重 指定轮询几率,weight和访问比率成正比,用于后端服务器性能不均的情况。 upstream backserver { server 192.168.0.14 weight=10; server 192.168.0.15 weight=10; } 3、IP绑定 ip_hash 每个请求按访问ip的hash结果分配,这样每个访客固定访问一个后端服务器,可以解决session的问题。 #ip哈希化 就像是粘上去了,容易宕机 upstream backserver { ip_hash; server 192.168.0.14:88; server 192.168.0.15:80; } 4、fair(第三方) 按后端服务器的响应时间来分配请求,响应时间短的优先分配。 upstream backserver { server server1; server server2; fair; } 5、url_hash(第三方) 按访问url的hash结果来分配请求,使每个url定向到同一个后端服务器,后端服务器为缓存时比较有效。 upstream backserver { server squid1:3128; server squid2:3128; hash $request_uri; hash_method crc32; } 在需要使用负载均衡的server中增加 proxy_pass http://backserver/; upstream backserver{ ip_hash; server 127.0.0.1:9090 down; (down 表示单前的server暂时不参与负载) server 127.0.0.1:8080 weight=2; (weight 默认为1.weight越大,负载的权重就越大) server 127.0.0.1:6060; server 127.0.0.1:7070 backup; (其它所有的非backup机器down或者忙的时候,请求backup机器) } max_fails :允许请求失败的次数默认为1.当超过最大次数时,返回proxy_next_upstream 模块定义的错误 fail_timeout:max_fails次失败后,暂停的时间
Nginx负载均衡的4种方案配置实例
01-11
1、轮询 轮询即Round Robin,根据Nginx配置文件中的顺序,依次把客户端的Web请求分发到不同的后端服务器。 配置的例子如下: http{ upstream sampleapp { server <<dns>>; server <<another>>; } .... server{ listen 80; ... location / { proxy_pass http:
如何注册leetcode-testing-system:学生测试系统。Codewars/Hackerrank/Leetcode克隆
07-01
如何注册leetcode 关于项目 它是 codewars/hackerrank/leetcode 的克隆,但适用于我大学的学生演示: 管理员凭据: admin:admin 常用用户凭据: user:user 如何使用 以管理员身份登录 创建学生组 创建学生 创建任务和测试 将不同的任务合并为一项工作 就这样。 以普通用户身份登录并享受编码 linux下如何设置 克隆 repo git clone 安装依赖npm install 构建前端npm run build:client 构建后端npm run build:server 安装 PostgreSQL 使用来自dist/backend/server/db setup和init脚本初始化数据库 配置nginx以从dist/frontend服务dist/frontend 将/api路由的 nginx proxy_pass添加proxy_pass后端监听的地址(默认为localhost:5000 ) 使用config.json配置服务器 跑步 现在您可以使用节点运行服务器: cd dist/backend/server && node -
详解Nginx proxy_pass的一个/斜杠引发的血案
01-09
背景 一个nginx的server模块下需要proxy到两个server,所以就通过location的不同路径来区分转发到不同的服务器上。 一开始是这么写的 location / { proxy_pass http://server1/; } location /index { proxy_pass http://server2/; } 但是忘记了server1上有个服务路径是/indexNew,结果就被proxy到了server1,出现404问题,然后紧急修改配置如下: location /indexNew { proxy_pass http://server1/; }
Linux中Nginx的HTTP和HTTPS常用配置以及proxy_pass详解
最新发布
liao3399084的博客
01-12 987
如果出现 (configure arguments: --with-http_ssl_module), 则已安装(下面的步骤可以跳过,直接进行。解压缩下载好的证书(证书一般是pem文件和key文件,这里名字可以随便改)将下载好的证书上上传到服务器,我将证书放在了root目录下的card文件夹。
nginx 正向代理https配置
小灰~的博客
07-24 2万+
1.需求描述 如图所示,公司内网为了安全考虑,只提供一台服务器可与外网作为网关,进行访问。 1.服务器A可以访问外网; 2.服务器B,C无法访问外网; 3.服务器ABC之间内网互通; 需求原因:内部web系统,部署在BC上,其中有直接访问外网的部分第三方接口。 需求目的:使BC服务器可以正常访问外网。 2.分析 基于nginx的正向代理,在服务器A搭建一个代理服务器,使得BC可以通过服务器A的nginx 代理进行访问外网。 3.nginx搭建正向代理 nginx版本...
入门Nginx之-代理HTTPS, HTTP强制转HTTPS
Heartsuit的博客
06-24 9296
简介 之前介绍过Nginx反向代理实现二级域名转发, 不过当时直接用Nginx代理的HTTP。 这次通过Nginx启用SSL, 代理HTTPS, 并实现HTTP强制转HTTPS。 第一步 Nginx代理HTTPS 修改配置: 添加443端口监听, 开启SSL, 配置证书地址, 反向代理HTTPS。 server { listen 443 ssl; server_name ww...
Nginx 配置 HTTPS 过程(+反向代理)
weixin_70437515的博客
06-20 9310
nginx配置HTTPS前置条件 我这里参考了一个网友的文章,有兴趣可以直达:手把手教你Nginx 配置 HTTPS 完整过程_somnus_小凯的博客-CSDN博客_nginx配置https 。不建议只一端配置https,另一端不配置,因为浏览器会拦截并给你一个白眼:。大意是要你: 前端https页面中不能请求 http的请求。必须将http 转为https的请求。即 nginx 配置反向代理也必须是https的。后端https 配置我将在后面的文章中呈现,可"搜索"本站 https。这里略去前奏,
基于android原生开发的混合电影app源码(带后端源码).zip
06-18
基于android原生开发的混合电影app源码(带后端源码).zip 【资源介绍】 基于android原生开发的混合电影app,后端采用springboot+mybatis+mysql开发,有react-native和flutter版本,参见个人主页springboot和react-native项目包括底部tab导航,,首页,电影,电视剧,我的,搜索页,分类页,电影详情页,播放页,登录,注册,浏览记录,播放记录,收藏,缓存,电影排行榜等页面和模块,功能齐全完善,所有数据来自python爬虫程序,抓取爱奇艺和第三方电影网站实时电影数据。 nginx配置 server{ listen 5001; location /service/ { proxy_pass http://127.0.0.1:5000; } location /static/ { alias E:/static/; } }
nginx 反向代理之 proxy_pass的实现
01-09
格式很简单: proxy_pass URL; 其中URL包含:传输协议(http://, https://等)、主机名(域名或者IP:PORT)、uri。 示例如下: proxy_pass http://www.xxx.com/; proxy_pass http://192.168.200.101:8080/uri; proxy_pass unix:/tmp/www.sock; 对于proxy_pass的配置有几种情况需要注意: 假设server_name为www.xxx.com 当请求http://www.xxx.com/aming/a.html的时候,以上示例分别访问的结果是 示例1
Nginx服务器中配置非80端口的端口转发方法详解
01-10
nginx可以很方便的配置成反向代理服务器:   server {   listen 80;   server_name localhost;   location / {   proxy_pass http://x.x.x.x:9500;   proxy_set_header Host $host:80;   proxy_set_header X-Real-IP $remote_addr;   proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;   proxy_set_header Via nginx;   }  
深入Nginx + PHP 缓存详解
12-18
Nginx缓存nginx有两种缓存机制:fastcgi_cache和proxy_cache下面我们来说说这两种缓存机制的区别吧proxy_cache作用是缓存后端服务器的内容,可能是任何内容,包括静态的和动态的fastcgi_cache作用是缓存fastcgi生成的内容,很多情况是php生成的动态内容proxy_cache缓存减少了nginx后端通信的次数,节省了传输时间和后端带宽fastcgi_cache缓存减少了nginx与php的通信次数,更减轻了php和数据库的压力。proxy_cache缓存设置复制代码 代码如下:#注:proxy_temp_path和proxy_cache_pat
使用NGINX作为HTTPS正向代理服务器
迷失蒲公英
02-25 7507
本文总结了NGINX利用HTTP CONNECT隧道和NGINX stream两种方式做HTTPS正向代理的原理,环境搭建,使用场景和主要问题,希望给大家在做各种场景的正向代理时提供参考。
nginx 配置代理ip访问https的域名配置
跟着飞哥学编程(全栈联盟)
04-24 2690
正向代理的代理对象是客户端,反向代理的代理对象是服务端。
nginx(六十)proxy模块(一)proxy_pass指令
wzj_110的博客
11-23 9065
proxy_pass深入讲解
Nginx proxy_pass详解
言尭的博客
12-16 1万+
Nginx 是最常用的反向代理工具之一,一个指令proxy_pass搞定反向代理,对于接口代理、负载均衡很是实用,但proxy_pass指令后面的参数很有讲究,通常一个/都可能引发一个血案。 通常nginx配置proxy_pass指令时,如果proxy_pass后面的url加/,表示绝对根路径;如果没有/,表示相对路径,把匹配的路径部分代理上。 url 只是 host,不带/ 例如: http://host- √ https://host- √ http://host...
proxy_redirect http:// https://
07-20
proxy_redirect指令设置为"proxy_redirect http:// https://",表示将所有以"http://"开头的重定向地址替换为"https://"。这在使用Nginx作为反向代理服务器时非常有用,可以确保所有的重定向都使用HTTPS协议进行跳转,以增加网站的安全性。 例如,当后端服务器返回一个重定向地址为"http://example.com"时,Nginx会将其替换为"https://example.com",确保客户端在重定向时使用了HTTPS协议。 请注意,在配置Nginx时,确保正确设置proxy_pass指令来代理请求,同时也要确保证书的安装和配置正确,以使HTTPS请求能够正常工作。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值