【问题标题】:proxy_pass with ssl upstream in nginxproxy_pass 在 nginx 中使用 ssl 上游
【发布时间】:2014-04-09 22:18:51
【问题描述】:

我正在尝试配置一个子域以将请求代理到我无法控制的其他服务器。一位朋友运行该服务器,他使用自己的 CA 来避免为 ssl 证书付费。我尝试将我的配置代理到我自己的一个子域,运行一个有效的 ssl 证书,它运行良好,但是一旦我代理他和他的“无效”ssl 证书,nginx 就会不断询问我的凭据。

这是我的配置:

server
{

listen                          [::]:443 ssl spdy;
listen                          443 ssl;
server_name                     subdomain.mydomain.tld;


ssl_prefer_server_ciphers   on;
ssl_protocols               TLSv1 TLSv1.1 TLSv1.2;
ssl_ciphers                 'ECDHE-RSA-AES256-GCM-SHA384:ECDHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-SHA384:ECDHE-RSA-AES128-SHA256:ECDHE-RSA-AES256-SHA:ECDHE-RSA-AES128-SHA:DHE-RSA-AES256-SHA256:DHE-RSA-AES128-SHA256:DHE-RSA-AES256-SHA:DHE-RSA-AES128-SHA:ECDHE-RSA-DES-CBC3-SHA:EDH-RSA-DES-CBC3-SHA:AES256-GCM-SHA384:AES128-GCM-SHA256:AES256-SHA256:AES128-SHA256:AES256-SHA:AES128-SHA:DES-CBC3-SHA:HIGH:!aNULL:!eNULL:!EXPORT:!CAMELLIA:!DES:!MD5:!PSK:RC4';
ssl_session_cache           shared:SSL:10m;
ssl_dhparam                 /etc/ssl/certs/dhparam.pem;
ssl_session_timeout         5m;
ssl_certificate             /etc/ssl/mydomain.crt;
ssl_certificate_key         /etc/ssl/mydomain.key;
ssl_stapling                on;
ssl_stapling_verify         on;
ssl_trusted_certificate     /etc/ssl/startssl.pem;
add_header                  Strict-Transport-Security max-age=63072000;

root                            /path/;
location /
{
    index                   /_h5ai/server/php/index.php;
    auth_basic              "mydomain";
    auth_basic_user_file    auth_file;
}

location /friend/
{
    rewrite                 ^/friend/(.*)  /$1 break;
    proxy_set_header        Authorization "Basic base64_encoded";
    proxy_pass              https://subdomain.friend.tld:443/blah/;
}

location ~ .php$
{
    fastcgi_pass            127.0.0.1:4242;
    include                 fastcgi.conf;
    fastcgi_read_timeout    3600;
}
}

我在日志中没有任何错误。 我可以浏览 /friend 之外的所有内容,它可以很好地进行身份验证,但是一旦我进入 /friend 身份验证就会一直弹出,就像我输入了错误的密码一样。 我知道我的 base64 编码是有效的,我通过在我的一个子域上复制相同的身份验证来测试它,它运行良好,所以我能想到的唯一解释是 nginx 不喜欢他的证书。

是否有一些我会错过的配置让我信任他的 CA? 或者只是为了禁用验证,数据根本不合理,即使通过http也可以,但他不想在他的服务器上配置它。所以禁用验证对我来说是一个足够好的解决方案。

谢谢

【问题讨论】:

    标签: ssl nginx reverse-proxy proxypass


    【解决方案1】:

    您应该将您朋友的 CA 证书(不是网络服务器证书,而是他创建并用于签署他的网络服务器证书的 CA 证书)安装到默认的 OpenSSL CA 存储中。

    首先,您需要确定 OpenSSL 将其文件保存在系统上的什么位置。在 Linux 上通常是:

    cd /etc/ssl/certs
    

    将您朋友的 CA 证书以 PEM 格式保存到该目录中。

    然后你需要确定那个证书的哈希:

    openssl x509 -noout -hash -in your-friends-ca.pem
    

    并使用哈希作为文件名并使用文件扩展名.0创建指向证书文件的符号链接:

    ln -s your-friends-ca.pem 34ae50c5.0
    

    然后重启 Nginx。

    【讨论】:

    • 非常感谢!刚刚发现问题在于他使用的是摘要身份验证而不是我想的基本身份验证,但是对于 ssl 部分有答案仍然很好:)
    猜你喜欢
    • 2021-12-05
    • 2023-03-08
    • 2020-11-15
    • 1970-01-01
    • 1970-01-01
    • 2019-01-28
    • 1970-01-01
    • 1970-01-01
    • 2013-03-01
    相关资源
    最近更新 更多