【发布时间】:2020-03-22 12:42:41
【问题描述】:
我正在尝试通过 nginx 反向代理 http 服务器。该服务正在侦听端口 8123,我想在 443 上代理它。 我创建了一个这样的自签名证书:
openssl req -x509 -newkey rsa:4096 -keyout key.pem -out cert.pem -days 365
这里是完整的 nginx 配置:
events {
worker_connections 768;
}
http {
server {
listen 443 ssl http2;
listen [::]:443 ssl http2;
ssl_certificate /home/mcmsadm/cert.pem;
ssl_certificate_key /home/mcmsadm/key.pem;
location / {
proxy_pass http://localhost:8123;
}
}
}
当我尝试使用 Firefox 连接到服务器时,它显示 PR_END_OF_FILE_ERROR。
我做错了什么? 谢谢!
编辑: 我在日志中发现了nginx错误信息(没想到):
SSL_CTX_use_PrivateKey_file("/home/mcmsadm/key.pem") failed
(SSL: error:2807106B:UI routines:UI_process:processing error:while reading strings
error:0906406D:PEM routines:PEM_def_callback:problems getting password
error:0907B068:PEM routines:PEM_read_bio_PrivateKey:bad password read
error:140B0009:SSL routines:SSL_CTX_use_PrivateKey_file:PEM lib)
我确实使用密码创建了证书,但是当我通过nginx -s reload 重新启动它时,nginx 会要求它。为了暂时解决这个问题,我将密码写在一个文件中,并将这一行添加到我的nginx.conf:
ssl_password_file /etc/nginx/pass;
有什么方法可以避免将密码写入文件?
【问题讨论】:
-
请查看 nginx 错误日志以了解可能出现的问题。如果您不理解那里的信息,请将这些信息添加到问题中。
-
这不是一个编程问题,我希望它会在 serverfault 或超级用户或 security.SX 上得到解决,但我找不到一个好的骗子。您可以使用
openssl rsa <k1 >k2或openssl pkey <k1 >k2从现有 OpenSSL 私钥文件中删除密码。您可以通过在openssl req -new -x509 ...命令上添加-nodes来创建 没有密码的私钥。请注意,它是具有密码而不是证书的密钥,尽管像 nginx 这样的服务器需要两者,所以这种区别不太重要。