nginx之proxy_pass代理後端https請求完全拆解

原創 hgqxjj 2019-09-09 14:21

前言

本文解釋了怎麼對nginx和後端服務器組或代理服務器進行加密http通信。

內容提綱

  • 前提條件

  • 獲取SSL服務端證書

  • 獲取SSL客戶端證書

  • 配置nginx

  • 配置後端服務器

  • 完整示例

前提條件

  • nginx源碼或nginx plus源碼

  • 一個代理服務器或一個代理服務器組

  • SSL證書和私鑰

獲取SSL服務端證書

你可以從一個可信證書頒發機構(CA)購買一個服務器證書, 或者你可以使用openssl庫創建一個內部CA, 並給自己頒發證書。這個服務器端證書和私鑰需要部署在後端的每一個服務器上。

獲取SSL客戶端證書

nignx使用一個SSL客戶端證書來對後端服務器組來標識自己。這個客戶端證書必須是被一個可信CA簽名的,並且和相匹配的私鑰一起部署在nginx中。
你還需要在後端服務器上配置好所有的來源SSL連接都需要客戶端證書,並信任這個CA頒發的nginx客戶端證書。 然後當nginx連接後端時,將提供客戶端證書,並且後端將會接收這個連接。

配置nginx

首先,改變相應URL到支持SSL連接的後端服務器組。在nginx的配置文件中,指明proxy_pass指令在代理服務器或後端服務器組中使用"https"協議:

location /upstream {    proxy_pass https://backend.example.com;
}

增加客戶端證書和私鑰,用於驗證nginx和每個後端服務器。使用proxy_ssl_certificateproxy_ssl_certificate_key指令:

location /upstream {  
    proxy_pass                https://backend.example.com;  
    proxy_ssl_certificate     /etc/nginx/client.pem;  
    proxy_ssl_certificate_key /etc/nginx/client.key  
}

如果你在後端服務器使用了自簽名證書或者使用了自建CA,你需要配置proxy_ssl_trusted_certificate. 這個文件必須是PEM格式的。另外還可以配置proxy_ssl_verifyproxy_ssl_verfiy_depth指令, 用來驗證安全證書:

location /upstream {
    ...
    proxy_ssl_trusted_certificate /etc/nginx/trusted_ca_cert.crt;
    proxy_ssl_verify       on;
    proxy_ssl_verify_depth 2;
    ...
}

每一個新的SSL連接都需要在服務端和客戶端進行一個完整的SSL握手過程,這非常耗費CPU計算資源。爲了是nignx代理預先協商連接參數,使用一種簡略的握手過程,增加proxy_ssl_session_reuse指令配置:

location /upstream {
    ...
    proxy_ssl_session_reuse on;
    ...
}

可選的,你也可以配置使用的SSL協議和SSL祕鑰算法:

location /upstream {
        ...
        proxy_ssl_protocols TLSv1 TLSv1.1 TLSv1.2;
        proxy_ssl_ciphers   HIGH:!aNULL:!MD5;
}

配置後端服務器

每一個後端服務器都必須配置成接受https連接。每一個後端服務器需要使用ssl_certificatessl_certificate_key指令來指定服務器證書和私鑰的文件路徑:

server {
    listen              443 ssl;
    server_name         backend1.example.com;

    ssl_certificate     /etc/ssl/certs/server.crt;
    ssl_certificate_key /etc/ssl/certs/server.key;
    ...
    location /yourapp {
        proxy_pass http://url_to_app.com;
        ...
    }
}

使用ssl_client_certificat指令來設定客戶端證書的文件路徑:

server {
    ...
    ssl_client_certificate /etc/ssl/certs/ca.crt;
    ssl_verify_client      off;
    ...
}

完整示例

http {
    ...
    upstream backend.example.com {
        server backend1.example.com:443;
        server backend2.example.com:443;
   }

    server {
        listen      80;
        server_name www.example.com;
        ...

        location /upstream {
            proxy_pass                    https://backend.example.com;
            proxy_ssl_certificate         /etc/nginx/client.pem;
            proxy_ssl_certificate_key     /etc/nginx/client.key
            proxy_ssl_protocols           TLSv1 TLSv1.1 TLSv1.2;
            proxy_ssl_ciphers             HIGH:!aNULL:!MD5;
            proxy_ssl_trusted_certificate /etc/nginx/trusted_ca_cert.crt;

            proxy_ssl_verify        on;
            proxy_ssl_verify_depth  2;
            proxy_ssl_session_reuse on;
        }
    }

    server {
        listen      443 ssl;
        server_name backend1.example.com;

        ssl_certificate        /etc/ssl/certs/server.crt;
        ssl_certificate_key    /etc/ssl/certs/server.key;
        ssl_client_certificate /etc/ssl/certs/ca.crt;
        ssl_verify_client      off;

        location /yourapp {
            proxy_pass http://url_to_app.com;
        ...
        }

    server {
        listen      443 ssl;
        server_name backend2.example.com;

        ssl_certificate        /etc/ssl/certs/server.crt;
        ssl_certificate_key    /etc/ssl/certs/server.key;
        ssl_client_certificate /etc/ssl/certs/ca.crt;
        ssl_verify_client      off;

        location /yourapp {
            proxy_pass http://url_to_app.com;
        ...
        }
    }
}

在這個示例中, proxy_pass指令設置使用了"https"協議,所以nginx轉發到後端服務器的流量是安全的。

當一個安全的連接第一次從nginx轉發到後端服務器,將會實施一次完整的握手過程。proxy_ssl_certificate指令設置了後端服務器需要的PEM格式證書的文件位置。proxy_ssl_certificate_key指令設置了證書的私鑰位置。proxy_ssl_protocolsproxy_ssl_ciphers指令控制使用的協議和祕鑰算法。

因爲proxy_ssl_session_reuse指令配置,當下一次nginx轉發一個連接到後端服務器時,會話參數會被重複使用,從而更快的建立安全連接。

proxy_ssl_trusted_certificate指令設置的那個可信CA證書文件是用來驗證後端服務器的證書。proxy_ssl_verify_depth指令指定了證書鏈檢查的深度。proxy_ssl_verify指令驗證證書的有效性。

譯註

本文爲翻譯,英文原文地址:https://www.nginx.com/resources/admin-guide/nginx-https-upstreams/ ,儘量遵循原文,不準確的地方,還請指正,謝謝。 本文原文地址: https://my.oschina.net/foreverich/blog/1517128永福翻譯,未經授權,不得轉載!


© 著作權歸作者所有

                           打印                                                    舉報                    

上一篇:                        git自學1: git使用基礎篇                    

下一篇:                        nginx之proxy_pass指令完全拆解                                            

                                                       

永福            

                           

永福

                                                                                                                                                                                                                                               

粉絲 32

博文 22

碼字總數 24431

作品 0

長沙

技術主管

nginx虛擬路徑中proxy_pass對後端請求的影響                        

假設nginx中的配置是這樣的: 那麼,當用戶請求http://x.x.x.x/subdir/other時,匹配到該區塊,nginx反向代理到後端時會保留虛擬路徑。nginx實際向後端發起的請求URL爲http://y.y.y.y/subdir...

獨指蝸牛

2018/07/07

0

0

Nginx4大模塊——proxy、headers、upstream、stream                        

   一:ngxhttpproxy_module 反向代理( reverse proxy) 方式是指用代理服務器來接受 Internet 上的連接請求, 然後將請求轉發給內部網絡中的上游服務器, 並將從上游服務器上得到的結果返...

yaohong

2018/05/27

0

0

                                                                                   

nginx的反向代理模塊 參數proxy_pass,proxy_method,proxy_hide_                        

nginx的反向代理模塊有很多種配置,下面介紹一些常用的配置實例: 1.proxy_pass 語法:proxy_pass URL 配置塊:location,if 詳解:此配置項將當前請求反向代理到URL參數指定的服務器上,URL...

adbug

2016/02/24

2.9K

0

nginx的proxy模塊及cache緩存記錄                        

一、基於nginx將客戶端請求反向代理至後端服務器: 1、proxy_pass指令只能用於location上下文: proxypass 後面的路徑不帶URI時,將會把location的URI傳遞給後端主機,如location /img/ { pr...

the_script

2018/12/16

0

0

                                                                                   

nginx 反向代理                        

nginx有兩種用途 :靜態內容的web服務器和反向代理 反向代理模塊proxy屬於標準http模塊 默認編譯時是安裝的。 最重要命令是proxy_pass,其用於指定代理的協議、服務器地址和映射的URI. 下面演...



發表評論
所有評論
還沒有人評論,想成為第一個評論的人麼? 請在上方評論欄輸入並且點擊發布.
相關文章

多線程和多進程 - 初窺

一、說明 在平常工作中,我們使用top命令查看一臺linux服務器的cpu使用情況時,會發現某個進程的cpu使用率會超過100%,這是爲什麼? 二、舉例 實驗環境爲 CentOS7.6 + Python2.7 1. 多線程、多進程在操作系統

小豹子加油 2024-05-20 14:36:10

Xming - xmanager的替代方案

一、概述 安裝某些數據庫的時候使用圖像化還是比較方便的,但是由於服務器一般不提供圖形化界面。之前一直都是使用Xmanager去導出圖形,但是Xmanager是收費的,公司不讓用,所以找了一款可以完美替代的產品Xming,本文將介紹xming

小豹子加油 2024-05-20 14:36:10

Mysql - 數據庫時區是客戶端屬性還是服務端屬性

一、說明 同事問我數據庫的時區是客戶端屬性還是服務端屬性,我覺得這個問題十分有意思,之前沒怎麼留意,自己來做下實驗。 首先介紹幾個術語。 GMT(Greenwich Mean Time),格林尼治平均時間。 UTC(Coordinated

小豹子加油 2024-05-20 14:36:10

sql求連續值問題

一. 找出表test1中tflag字段連續出現3次及以上爲1的行 思路:1. 對行進行編號,2. 對相鄰三行進行求和算出值作爲sumflag,3. 如果值爲3,則該行以及接下來的2行都輸出出來,通過自關聯解決。 WITH tmp AS (

小豹子加油 2024-05-20 14:36:10

SQL優化-20231016

數據結構 數據庫的表和索引缺一不可 表 特點: 無序,插入速度快,查找速度慢 索引(B+Tree) 特點:有序,插入速度慢,查找速度快 查找的效率比較,如果按照讀取的數據塊來計算? 測試數據 TABLE_OWNER TABLE

小豹子加油 2024-05-20 14:36:10

兩臺數據庫在數據寫入時性能的差異

介紹:我有兩臺數據庫,分別稱爲200和203,200和203的服務器性能配置相當,203的配置甚至還要好一點。都是安裝的centos7.7,oracle 19C,均已開日誌歸檔,這兩臺服務器在同一個機房,同一個網段。當我在本地使用JDBC去

小豹子加油 2024-05-20 14:36:10

Linux安裝MySQL配置教程

1.使用系統的root賬戶 2.切換到 /use/local 目錄下 3.下載mysql  根據自己需要安裝的版本下載。 wget https://dev.mysql.com/get/Downloads/MySQL-8.0/mysq

莫等閒也 2024-05-20 14:34:20

salesforce零基礎學習(一百三十七)零碎知識點小總結(九)

本篇參考:  https://help.salesforce.com/s/articleView?id=release-notes.rn_lab_conditional_visibiliy_tab.htm&release=250&type=

zero.zhang 2024-05-20 14:34:10

sql server sp_executesql 中使用表變量進行查詢

示例demo: DECLARE @table IdTableType INSERT INTO @table SELECT Id FROM dbo.t_pl_test DECLARE @SearchSQL NVARCHAR(MAX) SE

自閉玩家 2024-05-20 14:32:10

Flink精確消費一次

 在大數據計算裏面,計算引擎是處於承上啓下的作用,對上承接數據源,對下承接各種各種數據庫,比如mysql、oracle。對於任何數據計算來說要想精確消費一次,就需要支持事務或者冪等,我們最常見的支持事務的就是單點的oracle、mysql數

人不瘋狂枉一生 2024-05-20 14:27:59

5款.NET開源、免費、功能強大的圖表庫

LiveCharts2 LiveCharts2是一個.NET開源(MIT License)、簡單、靈活、交互式且功能強大的.NET圖表、地圖和儀表,現在幾乎可以在任何地方運行如:Maui、Uno Platform、Blazor-wasm、W

追逐時光 2024-05-20 14:26:59

終於搞懂了!原來 Vue 3 的 generate 是這樣生成 render 函數的

前言 在之前的 面試官:來說說vue3是怎麼處理內置的v-for、v-model等指令? 文章中講了transform階段處理完v-for、v-model等指令後,會生成一棵javascript AST抽象語法樹。這篇文章我們來接着講gen

你假裝沒察覺 2024-05-20 14:26:19

Markdown基礎語法2024測試

標題一 標題二 標題三 標題四 標題五 標題六 hr 加粗字體 b 斜體字體 i 引用內容 code 超鏈接 a blockquote ol > li 有序列表 ul > li 無須列表 pre 代碼塊 p 表格標

喵喵撲 2024-05-20 14:26:09

ue5生成vs工程報錯-msvc版本太舊

ue生成VS工程報錯 右鍵 - uproject ,Generating VisualStudio project files ,報錯信息如下:就是我安裝的msvc版本太舊 Running C:/Program Files/Epic Ga

趙青青 2024-05-20 14:25:39

vscode 清理遠程服務器內存

因網絡中斷或其他原因,有時候服務器上留下較多無用的vscode-server進程,佔用內存資源 可以採用如下命令kill進程 ps uxa | grep .vscode-server | awk '{print $2}' | xargs k

張博的博客 2024-05-20 14:24:58