ngxin常用配置--nginx之proxy_pass代理后端https请求完全解析

前言

本文解释了怎么对nginx和后端服务器或代理服务器进行加密http通信

内容提纲

• 前提条件
• 获取SSL服务器证书
• 获取SSL客户端证书
• 配置nginx
• 配置后端服务器
• 完整示例

前提条件

• nginx源码或nginx plus源码
• 一个代理服务器或一个代理服务器组
• SSL证书和私钥

获取SSL服务器证书

你可以从一个可信任证书颁发机构（CA）购买一个服务器证书，或者你可以使用openssl库创建一个内部CA签名，并且给自己颁发证书。这个服务器端证书和私钥需要部署在后端的每一个服务器上。

你还需要在后端服务器上配置好所有的来源SSL连接都需要客户端证书，并信任这个CA颁发的nginx客户端证书。然后当nginx连接后端时，将提供客户端证书，并且后端将会接收这个连接。

配置nginx

首先，改变相应URL到支持SSL连接的后端服务器组。在nginx的配置文件中，指明proxy_pass指令在代理服务器或后端服务器组中使用“https”协议：

location /upstream {
proxy_pass https://backend.example.com;
}

增加客户端证书和私钥，用于验证nginx和每个后端服务器。使用 proxy_ssl_certificate 和 proxy_ssl_certificate_key 指令：

location /upstream {
proxy_pass         https://backend.example.com;
proxy_ssl_certificate   /etc/nginx/client.pem;
proxy_ssl_certificate_key   /etc/nginx/client.key
}

如果你在后端服务器使用了自签名证书或者使用了自建CA，你需要配置prox_ssl_trusted_certificate 这个文件必须是PEM格式的。另外还可以配置proxy_ssl_verify 和 proxy_ssl_verfiy_depth 指令，用来验证安全证书。

location /upstream {
proxy_ssl_trusted_certificate   /etc/nginx/trusted_ca_cert.crt;
proxy_ssl_verify    on;
proxy_ssl_verify_depth  2;
}

每一个新的SSL连接都需要在服务器和客户端进行一个完整的SSL握手过程，这非常消耗CPU计算资源。为了使nginx代理预先协商连接参数，使用一种简略的握手过程，增加proxy_ssl_session_reuse 指令配置：

location /upstream {
proxy_ssl_session_reuse      on;
}

可选的，你也可以配置使用的SSL协议和SSL秘钥算法：

location /upstream{
proxy_ssl_protocols   TLSv1 TLSv1.1 TLSv1.2;
proxy_ssl_ciphers      HIFH:!aNULL:!MD5;
}

配置后端服务器

每一个后端服务器都必须配置成接受https连接。每一个后端服务器需要使用 ssl_certificate 和 ssl_certificate_key 指令来指定服务器证书和私钥的文件路径：

server{
listen     443 ssl;
server_name   backend1.example.com;

ssl_certificate   /etc/ssl/certs/server.crt;
ssl_certificate_key   /etc/ssl/certs/server.key;

location  /yourapp{
proxy_pass  http://url_to_app.com;
}
}

使用 ssl_client_certificat 指令来设定客户端证书的文件路径：

server{
ssl_client_certificate   /etc/ssl/certs/ca.crt;
ssl_verify_client   off;
}

完整示例

http{
upstream  backend.example.com{
server  backend1.example.com:443;
server  backend2.example.com:442;
}

server{
listem   80;
server_name    www.exaple.com;

location  /upstreeam{
proxy_pass        https://backend.example.com;
proxy_ssl_certificate      /etc/nginx/client.pem;
proxy_ssl_certificate_key   /etc/nginx/client.key;
proxy_ssl_protocols       TLSv1 TLSV1.1 TLSv1.2;
proxy_ssl_ciphers          HGH:!aNULL:!MD5;
proxy_ssl_trusted_certificate  /etc/nginx/trusted_ca_cert.crt;

proxy_ssl_verify   on;
proxy_ssl_verify_depth  2;
proxy_ssl_session_reuse  on;
}
}

server {
listen   442 ssl;
server_name  backend1.example.com;

ssl_certificate     /etc/ssl/certs/server.crt;
ssl_certificate_key    /etc/ssl/certs/server.key;
ssl_client_certificate  /etc/ssl/certs/ca.crt;
ssl_verify_client   off;

location   /yourapp{
proxy_pass https://url_tp_app.com;
}
}
}

在这个示例中，proxy_pass 指令设置使用了 “https” 协议，所以 nginx 转发到后端放上去的流量是安全的。

当一个安全的连接第一次从 nginx 转发到后端服务器，将会实施一次完整的握手过程。

proxy_ssl_certificate 指令设置了后端服务器需要的 PEM 格式证书的文件位置。

proxy_ssl_certificate_key 指令设置了证书的私钥位置。 proxy_ssl_protocols 和 proxy_ssl_ciphers 指令控制使用的协议和秘钥算法。

因为 proxy_ssl_session_reuse 指令配置，当下一次 nginx 转发一个连接到后端服务器时，会话参数会被重复使用，从而更快的建立安全连接。

proxy_ssl_trusted_certificate 指令设置的那个可信CA证书文件是用来验证后端服务器的证书。

proxy_ssl_verify_depth 指令指定了证书链检查的深度。

proxy_ssl_verify 指令验证证书的有效性。

注：转载于https://my.oschina.net/foreverich/blog/1517128?utm_medium=referral&tdsourcetag=s_pcqq_aiomsg

转载于:https://www.cnblogs.com/xushuhai/p/10105184.html

• 点赞
• 收藏
• 分享
• 文章举报