Nginx常用配置--nginx之proxy_pass代理后端https请求完全解析

更新日期: 2018-12-12阅读: 2.7k标签: Nginx

前提条件

  • nginx源码或nginx plus源码
  • 一个代理服务器或一个代理服务器组
  • SSL证书和私钥


获取SSL服务器证书

你可以从一个可信任证书颁发机构(CA)购买一个服务器证书,或者你可以使用openssl库创建一个内部CA签名,并且给自己颁发证书。这个服务器端证书和私钥需要部署在后端的每一个服务器上。

你还需要在后端服务器上配置好所有的来源SSL连接都需要客户端证书,并信任这个CA颁发的nginx客户端证书。然后当nginx连接后端时,将提供客户端证书,并且后端将会接收这个连接。


配置nginx

首先,改变相应URL到支持SSL连接的后端服务器组。在nginx的配置文件中,指明proxy_pass指令在代理服务器或后端服务器组中使用“https”协议:

location /upstream {
    proxy_pass https://backend.example.com;
}

增加客户端证书和私钥,用于验证nginx和每个后端服务器。使用 proxy_ssl_certificate 和 proxy_ssl_certificate_key 指令:

location /upstream {
    proxy_pass         https://backend.example.com;
    proxy_ssl_certificate   /etc/nginx/client.pem;
    proxy_ssl_certificate_key   /etc/nginx/client.key  
}

如果你在后端服务器使用了自签名证书或者使用了自建CA,你需要配置prox_ssl_trusted_certificate 这个文件必须是PEM格式的。另外还可以配置proxy_ssl_verify 和 proxy_ssl_verfiy_depth 指令,用来验证安全证书。

location /upstream {
    proxy_ssl_trusted_certificate   /etc/nginx/trusted_ca_cert.crt;
    proxy_ssl_verify    on;
    proxy_ssl_verify_depth  2;
}

每一个新的SSL连接都需要在服务器和客户端进行一个完整的SSL握手过程,这非常消耗CPU计算资源。为了使nginx代理预先协商连接参数,使用一种简略的握手过程,增加proxy_ssl_session_reuse 指令配置:

location /upstream {
    proxy_ssl_session_reuse      on;  
}

可选的,你也可以配置使用的SSL协议和SSL秘钥算法:

location /upstream{
    proxy_ssl_protocols   TLSv1 TLSv1.1 TLSv1.2;
    proxy_ssl_ciphers      HIFH:!aNULL:!MD5;
}


配置后端服务器

每一个后端服务器都必须配置成接受https连接。每一个后端服务器需要使用 ssl_certificate 和 ssl_certificate_key 指令来指定服务器证书和私钥的文件路径:

server{
    listen     443 ssl;
    server_name   backend1.example.com;
    
    ssl_certificate   /etc/ssl/certs/server.crt;
    ssl_certificate_key   /etc/ssl/certs/server.key;

    
    location  /yourapp{
        proxy_pass  http://url_to_app.com;
    }
}

使用 ssl_client_certificat 指令来设定客户端证书的文件路径:

server{
    ssl_client_certificate   /etc/ssl/certs/ca.crt;
    ssl_verify_client   off;
}


完整示例

http{
    upstream  backend.example.com{
        server  backend1.example.com:443;
        server  backend2.example.com:442;
     }

     server{
         listem   80;
         server_name    www.exaple.com;

         location  /upstreeam{
             proxy_pass        https://backend.example.com;
             proxy_ssl_certificate      /etc/nginx/client.pem;
             proxy_ssl_certificate_key   /etc/nginx/client.key;
             proxy_ssl_protocols       TLSv1 TLSV1.1 TLSv1.2;
             proxy_ssl_ciphers          HGH:!aNULL:!MD5;
             proxy_ssl_trusted_certificate  /etc/nginx/trusted_ca_cert.crt;

             proxy_ssl_verify   on;
             proxy_ssl_verify_depth  2;
             proxy_ssl_session_reuse  on;  
         }
     }  

     server {
          listen   442 ssl;
          server_name  backend1.example.com;

          ssl_certificate     /etc/ssl/certs/server.crt;
          ssl_certificate_key    /etc/ssl/certs/server.key;
          ssl_client_certificate  /etc/ssl/certs/ca.crt;
          ssl_verify_client   off;

          location   /yourapp{
                 proxy_pass https://url_tp_app.com;
         }
    }
}


在这个示例中,proxy_pass 指令设置使用了 “https” 协议,所以 nginx 转发到后端放上去的流量是安全的。

当一个安全的连接第一次从 nginx 转发到后端服务器,将会实施一次完整的握手过程。

proxy_ssl_certificate 指令设置了后端服务器需要的 PEM 格式证书的文件位置。

proxy_ssl_certificate_key 指令设置了证书的私钥位置。 proxy_ssl_protocols 和 proxy_ssl_ciphers 指令控制使用的协议和秘钥算法。

因为 proxy_ssl_session_reuse 指令配置,当下一次 nginx 转发一个连接到后端服务器时,会话参数会被重复使用,从而更快的建立安全连接。

proxy_ssl_trusted_certificate 指令设置的那个可信CA证书文件是用来验证后端服务器的证书。

proxy_ssl_verify_depth 指令指定了证书链检查的深度。

proxy_ssl_verify 指令验证证书的有效性。


链接: https://fly63.com/article/detial/1562

nginx:支持https

查看nginx模块,如果看到with-ssl那就是有的。注册ssl证书并下载,配置nginx就比如说,还没有配置https前你配置了80,那么你http://域名/直接默认访问80端口,那么一样的

nginx做http向https的自动跳转

首先让nginx服务器监听两个端口,分别是80端口和443端口,注意监听443端口的时候需要配置证书的认证以及创建自签名证书!关于证书的认证的以及创建自签名的证书,nginx的配置如下,只给出了两个server的配置,可以直接复制到http块中。

Nginx配置https和wss

常见的服务器有三种:Nginx、IIS、Apache,都可以配置https,但是没必要全部知道,因为Nginx可以起到反向代理的作用,会配置Nginx就足够了。在/etc/nginx/conf.d目录下新建https.conf

nginx加速_开启Gzip/文件做缓存

开启Gzip:给Nginx上 ngx_http_gzip_module 这个模块,用 nginx -V 命令查看 configure arguments 是否有,没有的话需要编译加载这个模块;给文件做缓存:图片文件,字体文件,js和css都是些可以用来缓存的文件

nginx和php-fpm的进程启停重载总结

ginx和php-fpm对于-USR2、-HUP信号的处理方式不一样:TERM, INT(快速退出,当前的请求不执行完成就退出),QUIT (优雅退出,执行完当前的请求后退出)

Nginx解析PHP的原理 | CGI、FastCGI及php-fpm的关系

php-fpm采用master/worker架构设计, master进程负责CGI、PHP公共环境的初始化及事件监听操作。worker进程负责请求的处理功能。在worker进程处理请求时,无需再次初始化PHP运行环境,这也是php-fpm性能优异的原因之一

Nginx 禁止某 IP 访问

总有一些不怀好意的人来访问我的网站,而且频率还很高,所以就用简单的方式禁止访问,就用 Nginx 来实现。想要添加黑名单,只要在 blocksip.conf 中添加 IP ,然后 reload 即可。

Nginx服务器 之反向代理与负载均衡

客户端就可以通过请求代理服务器,获取想要的资源,但客户端并不知道给他资源的是哪个服务器。这种方式就是反向代理。当一台服务器的单位时间内的访问量越大的时候,服务器的压力会越大。我们通常通过负载均衡的方式来分担服务器的压力。

前端如何通过Nginx代理做到跨域访问API接口

Nginx作为反向代理服务器,就是把http请求转发到另一个或者一些服务器上。通过把本地一个url前缀映射到要跨域访问的web服务器上,就可以实现跨域访问。对于浏览器来说,访问的就是同源服务器上的一个url

nginx去掉url中的index.php

使用情境:我想输入www.abc.com/a/1后,实际上是跳转到www.abc.com/index.php/a/1,配置Nginx.conf在你的虚拟主机下添加:如果你的项目入口文件在一个子目录内,则.

点击更多...

内容以共享、参考、研究为目的,不存在任何商业目的。其版权属原作者所有,如有侵权或违规,请与小编联系!情况属实本人将予以删除!