目录
生成证书(自签名证书需要)
配置NGINX
官网链接
使用SSL/TLS加密,确保NGINX或NGINX Plus与上游服务器之间的HTTP流量安全。
本文解释了如何加密NGINX和上游组或代理服务器之间的HTTP流量。
生成证书(自签名证书需要)
1. 生成自签名CA证书。文章来源:https://www.toymoban.com/news/detail-740380.html
openssl genrsa -out ca.key 2048
openssl req -new -key ca.key -out ca.csr
openssl x509 -req -sha256 -days 365 -in ca.csr -signkey ca.key -out ca.crt
- 生成客户端证书和密钥。
openssl genrsa -out client.key 2048
openssl req -new -key client.key -out client.csr
openssl x509 -req -sha256 -days 365 -in client.csr -CA ca.crt -CAkey ca.key -set_serial 01 -out client.crt
- 生成服务器证书和密钥。
openssl genrsa -out server.key 2048
openssl req -new -key server.key -out server.csr
openssl x509 -req -sha256 -days 365 -in server.csr -CA ca.crt -CAkey ca.key -set_serial 01 -out server.crt
配置NGINX
http {
#...
upstream backend.example.com {
server backend1.example.com:443;
server backend2.example.com:443;
}
server {
listen 80;
server_name www.example.com;
#...
location /upstream {
proxy_pass https://backend.example.com;
# 连接上游服务器时,供上游服务器验证的证书
proxy_ssl_certificate /etc/nginx/client.pem;
proxy_ssl_certificate_key /etc/nginx/client.key;
proxy_ssl_protocols TLSv1 TLSv1.1 TLSv1.2;
proxy_ssl_ciphers HIGH:!aNULL:!MD5;
# // 验证上游服务器时,使用的ca证书
proxy_ssl_trusted_certificate /etc/nginx/trusted_ca_cert.crt;
proxy_ssl_verify on;
proxy_ssl_verify_depth 2;
# 每次连接都需要完整的ssl握手,消耗cpu较大,加上此参数,可以复用连接,减少握手次数
proxy_ssl_session_reuse on;
proxy_ssl_server_name on;
# 次参数不是太懂
proxy_ssl_name backend.example.com;
}
}
server {
listen 443 ssl;
server_name backend1.example.com;
ssl_certificate /etc/ssl/certs/server.crt;
ssl_certificate_key /etc/ssl/certs/server.key;
# 验证客户端使用的CA证书
ssl_client_certificate /etc/ssl/certs/ca.crt;
# 开启验证客户端
ssl_verify_client on;
location /yourapp {
proxy_pass http://url_to_app.com;
#...
}
server {
listen 443 ssl;
server_name backend2.example.com;
ssl_certificate /etc/ssl/certs/server.crt;
ssl_certificate_key /etc/ssl/certs/server.key;
ssl_client_certificate /etc/ssl/certs/ca.crt;
ssl_verify_client on;
location /yourapp {
proxy_pass http://url_to_app.com;
#...
}
}
}
官网链接
官网文档文章来源地址https://www.toymoban.com/news/detail-740380.html
到了这里,关于Nginx proxy_pass到https后端的文章就介绍完了。如果您还想了解更多内容,请在右上角搜索TOY模板网以前的文章或继续浏览下面的相关文章,希望大家以后多多支持TOY模板网!
