堆栈内存溢出
  繁体   English   中英

在nginx中使用ssl上游的proxy_pass

[英]proxy_pass with ssl upstream in nginx

 原文  2014-03-06 23:56:20       ssl/ nginx/ reverse-proxy/ proxypass

问题描述

我正在尝试配置子域以将请求代理到我无法控制的其他服务器。 一位朋友运行该服务器,他使用自己的CA来避免支付ssl证书。 我尝试将我的配置代理到我自己的子域之一,运行有效的ssl证书,并且它工作正常,但是一旦我代理他和他的“无效”ssl证书,nginx一直问我的凭据。

这是我的配置: 

server
{

listen                          [::]:443 ssl spdy;
listen                          443 ssl;
server_name                     subdomain.mydomain.tld;


ssl_prefer_server_ciphers   on;
ssl_protocols               TLSv1 TLSv1.1 TLSv1.2;
ssl_ciphers                 'ECDHE-RSA-AES256-GCM-SHA384:ECDHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-SHA384:ECDHE-RSA-AES128-SHA256:ECDHE-RSA-AES256-SHA:ECDHE-RSA-AES128-SHA:DHE-RSA-AES256-SHA256:DHE-RSA-AES128-SHA256:DHE-RSA-AES256-SHA:DHE-RSA-AES128-SHA:ECDHE-RSA-DES-CBC3-SHA:EDH-RSA-DES-CBC3-SHA:AES256-GCM-SHA384:AES128-GCM-SHA256:AES256-SHA256:AES128-SHA256:AES256-SHA:AES128-SHA:DES-CBC3-SHA:HIGH:!aNULL:!eNULL:!EXPORT:!CAMELLIA:!DES:!MD5:!PSK:RC4';
ssl_session_cache           shared:SSL:10m;
ssl_dhparam                 /etc/ssl/certs/dhparam.pem;
ssl_session_timeout         5m;
ssl_certificate             /etc/ssl/mydomain.crt;
ssl_certificate_key         /etc/ssl/mydomain.key;
ssl_stapling                on;
ssl_stapling_verify         on;
ssl_trusted_certificate     /etc/ssl/startssl.pem;
add_header                  Strict-Transport-Security max-age=63072000;

root                            /path/;
location /
{
    index                   /_h5ai/server/php/index.php;
    auth_basic              "mydomain";
    auth_basic_user_file    auth_file;
}

location /friend/
{
    rewrite                 ^/friend/(.*)  /$1 break;
    proxy_set_header        Authorization "Basic base64_encoded";
    proxy_pass              https://subdomain.friend.tld:443/blah/;
}

location ~ .php$
{
    fastcgi_pass            127.0.0.1:4242;
    include                 fastcgi.conf;
    fastcgi_read_timeout    3600;
}
}

我在日志中没有任何错误。 我可以在/朋友之外浏览一切都很好,它可以正常验证,但是一旦我进入/朋友身份验证,就会像我输错密码一样弹出。 我知道我的base64编码是有效的,我通过在我的一个子域上复制相同的auth来测试它并且它工作正常,所以我能想到的唯一解释是nginx不喜欢他的证书。

是否有一些我错过的配置允许我信任他的CA? 或者只是为了禁用验证,数据根本不合理,即使在http上也没问题,但是他不想在他的服务器上配置它。 因此,禁用验证对我来说是一个很好的解决方案。

谢谢

1 个解决方案

解决方案1
 2  2014-03-07 10:55:44

您应该将朋友的CA证书(不是Web服务器证书,而是他创建并用于签署其Web服务器证书的CA证书)安装到默认的OpenSSL CA存储中。

首先,您需要确定OpenSSL在系统中保存文件的位置。 在Linux上通常是: 

cd /etc/ssl/certs

将您朋友的CA证书(以PEM格式)保存到该目录中。

然后,您需要确定该证书的哈希值: 

openssl x509 -noout -hash -in your-friends-ca.pem

并使用hash作为文件名并使用文件扩展名.0创建一个符号链接到cert文件: 

ln -s your-friends-ca.pem 34ae50c5.0

然后重启Nginx。

暂无
暂无

声明:本站的技术帖子网页,遵循CC BY-SA 4.0协议,如果您需要转载,请注明本站网址或者原文地址。任何问题请咨询:yoyou2525@163.com.

相关问题 NGINX proxy_pass 和上游 SSL 证书 nginx proxy_pass SSL不起作用 NGINX子域和Mumble的proxy_pass NGINX proxy_pass更改方案 Nginx proxy_pass 重定向到错误的域 Nginx proxy_pass到aws Api网关 nginx代理传递给sslv3上游 Nginx代理通过不适用于SSL nginx + socket.io + proxy + ssl中的上游超时错误 Nginx `proxy_ssl_trusted_certificate` 与letsencrypt上游
相关标签
 
粤ICP备18138465号  © 2020-2024 STACKOOM.COM