nginx如何反向代理私有证书的内网接口

最新推荐文章于 2025-11-29 17:46:39 发布
原创 最新推荐文章于 2025-11-29 17:46:39 发布 · 1k 阅读 · 16 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#nginx #运维

Gone 是一个基于 Go 语言开发的轻量级依赖注入框架,专注于通过模块化设计和代码生成技术,帮助开发者构建可测试、易维护的应用程序架构。
推挤你使用,项目地址:https://github.com/gone-io/gone

文章目录

引言

今天有个前端朋友问我:“前端如何配置https证书?”。听的一头雾水,原来是他写的页面访问接口时报了证书错误Met::ERR CERT AUTHORITY INVALID,领导让他在前端配置一下证书;他的页面是http访问的,报错的接口是另外部门提供的,现在从http改成了https,然而使用的却是私有证书。我给他的分析结论是:使用nginx代理中转一下

问题:在nginx上如何反向代理私有证书的接口

一般有两种方案解决,在这里分享给大家。

方法一:禁用SSL证书验证(不推荐生产环境)​

此方法允许Nginx跳过对后端证书的验证,适用于测试或内部安全环境。

server {
    listen 80;
    server_name proxy.example.com;

    location / {
        proxy_pass https://backend.example.com;
        proxy_ssl_verify off;  # 关闭证书验证
        proxy_ssl_server_name on;  # 启用SNI支持
        # 传递必要头信息
        proxy_set_header Host $host;
        proxy_set_header X-Real-IP $remote_addr;
        proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
        proxy_set_header X-Forwarded-Proto $scheme;
    }
}

方法二:信任私有证书(推荐)

将后端证书或其CA证书添加到Nginx的信任列表中,确保

最低0.47元/天 解锁文章
Nginx 反向代理 MinIO 及 ruoyi-vue-pro 配置 MinIO 详解
码农研究僧的博客
02-17 1230
如何在ruoyi-vue-pro上使用minio上传文件,通过Ngnix再次转发路径 相关的minio推荐阅读: 云服务器中的MinIO 配置 HTTPS 过程(图文) 详细分析Java中的Minio类各API(附win配置安装)(全) 相关的Java阅读: java框架 零基础从入门到精通的学习路线 附开源项目面经等(超全) 【Java项目】实战CRUD的功能整理(持续更新) MinIO 是一个高性能的对象存储系统,支持 S3 API,通常用于构建私有云存储或分布式存储 为了让 MinIO 通过
阿里云个人服务器搭建项目笔记四:nginx反向代理优化,分布式扩展
qq_31314141的博客
02-20 537
首先我们需要思考上一个章节并发上不去的原因。发现在并发环境下mysql数据库的压力时钟很大,一台服务器上面不仅仅要跑java的jar包程序,还要承受高并发访问数据库的压力。这样的压力都在同一台服务器上显然存在缺陷。所以我们可以购买多台服务器。 一台专门用来部署项目的数据库。 两台或多台用来部署项目jar包。 一台用来配置部署nginx反向代理。 首先这里购买4台服务器,两台跑java,一台部署数据...
Nginx】使用自生成证书配置nginx代理https
姜太小白的博客
01-17 2148
使用自生成证书配置nginx代理https
Nginx无证书反向代理
manhuai的博客
10-16 5843
Nginx无证书反向代理 【需求】 1、用户无感知:无需配置代理服务器,访问url及端口无变化; 2、同时转发http及https流量,且不使用自签发证书(安全需要)。 【方案】 1、反向代理; 2、ssl preread模块。 【CONF】 #user nobody; worker_processes auto; #error_log logs/error.log; #error_log logs/error.log notice; #error_log logs/error.log in
Nginx代理到https地址忽略证书验证配置
2509_94083135的博客
11-29 377
当proxy_ssl_server_name设置为on时,Nginx会在与后端服务器建立SSL/TLS连接时,使用请求头中的Host字段值作为SNI(Server Name Indication)的一部分。这意味着每次Nginx与后端服务器建立连接时,都会进行完整的SSL/TLS握手过程,这可能会增加延迟和服务器负载。如果proxy_ssl_server_name未设置或设置为off,Nginx将不会使用Host头部值作为SNI的一部分,这可能会导致SSL/TLS握手失败,特别是当后端服务器期望SNI时。
Nginx安装和反向代理配置(安全证书)
lhd85的博客
10-24 2888
Nginx ("engine x") 是一个高性能的HTTP和反向代理服务器,也是一个IMAP/POP3/SMTP服务器。Nginx是由Igor Sysoev为俄罗斯访问量第二的Rambler.ru站点开发的,第一个公开版本0.1.0发布于2004年10月4日。其将源代码以类BSD许可证的形式发布,因它的稳定性、丰富的功能集、示例配置文件和低系统资源的消耗而闻名。2011年6月1日,ngi
Nginx反向代理(超详细)
m0_74825093的博客
03-07 2522
这一篇是nginx在Linux中实现的反向代理,首先在Linux中下载好nginx是前提在官网下载,可以直接下载tar.gz后缀的直接拖到Linux中解压就可以使用了,这里建议可以建一个文件夹进行存放,但是注意(不要叫nginx)可以取名Nginx,因为在解压之后会生成一个nginx的文件夹,这样就会产生冲突。就基本上完成了,最后要全部注意你的端口防火墙是否都已经全部打开,控制台中的安全组端口是否已经开放,然后就可以直接在本机输入你的云服务器地址或者虚拟机的地址就可以打开啦!这里就会生成一个文件dist。
企业内网自建yum源 仓库 | nginx 反向代理方案
瑞哥的博客
05-22 865
取得软件包文件,可以从安装镜像拷贝,本文使用rsync方式从互联网同步搭建网页文件服务器,本文使用nginx使用createrepo创建索引配置客户端yum.repo文件。
精选资源
使用Nginx反向代理到go-fastdfs的方法示例
01-10
那么也正是因为这样,在公网的环境下,要访问到私有云提供的服务则必须使用反向代理。同样道理,对于文件系统的访问也如此,如何在nginx中进行配置才能使得外部的网络请求可以反向代理到go-fastdfs呢?本文将逐步...
nginx数字证书与反向代理配置
qq_44821149的博客
03-06 1603
nginx 反向代理、数字证书配置
nginx 配置 ssl
深海大冒险的博客
10-28 6599
nginx
Nginx反向代理、配置ssl证书
qq_35476299的博客
03-03 1890
反向代理配置这个的好处就是端口号本来只能唯一,但是我们通过配置就可以重定向,让我们的非80端口也能使用80端口。server{ listen 80; server_name www.example.com:8081; location / { proxy_pass http://localhost:8081
Nginx配置带证书代理https
虫虫的博客
05-24 1979
nginx.conf同级目录下创建文件夹ssl,用来放置证书,把访问对方需要的证书上传到ssl文件夹下,若证书是pem或cer在nginx.conf加上证书即可;然后重新启动nginx,即可通过访问此台服务器/xxx路由访问到https://xxx.com上。
Nginx https反向代理502错误,proxy_ssl_server_name、proxy_ssl_verify
zzhongcy的专栏
08-10 1万+
Nginx作用反向代理与上游服务器使用HTTPS建连时,默认不启用SNI,使用参数启用;默认不验证上游服务器返回的证书,使用开启上游证书验证后Nginx会使用配置文件中指定的CA验证上游服务器返回证书的合法性,同时也会比对证书中的CommonName信息。
nginx配置正向代理忽略证书!!!!!
u011197085的博客
06-07 3704
Nginx都会忽略SSL证书检查,从而避免证书验证错误。在连接到HTTPS站点时忽略证书错误。要绕过证书验证并忽略SSL证书检查,可以使用。修改你的Nginx配置文件(例如。命令通过代理测试下载。
nginx反向代理异常
weixin_34168700的博客
08-23 293
下午运营反馈,应用图标无法显示。 拼接图标地址并访问,nginx日志如下: xxx.23.11.109 - - [09/Oct/2012:18:37:17 +0800] "GET /applogo/2725991bb19199bd0c75b3e736ff57d3.png HTTP/1.1" 404 97 "http://myhost/page/manage" "Mozilla/5.0 (W...
nginx无证书情况用stream模块反向代理https网站
热门推荐
04-09 1万+
公司研发一般在内网环境下,但是开发时需要调用某些第三方接口。 这时可以用一台服务器做nginx反向代理,然后研发机器修改host文件将域名指向服务器即可实现代理转发。 但是普通的nginx http反向代理代理https时需要配置证书,我们不可能有第三方接口域名的证书,所以要使用nginx 的stream模块。 普通的nginx反向代理时第七层代理,而stream模块是第四层代理,转发的tc...
nginx配置反向代理验证ssl证书 双向认证
weixin_45548465的博客
05-15 7213
适用于公司内部一些业务系统对安全性要求比较高,业务系统只允许公司内部人员访问,而且要求浏览器要安装证书登录,对公司入职有需求的人员开通证书,流失的人员注销证书。 修改openssl配置参数 vim /etc/pki/tls/openssl.cnf 下面只列出配置文件中和自建CA有关的几个关键指令 dir=/etc/pki/CA #CA的工作目录 database=$dir/index.txt #签署证书的数据记录文件,下面会生成index这个文件 new_certs_dir=$dir/n
为什么用nginx反向代理做转发,可以不用直接开放后端的接口?
最新发布
12-03
使用 Nginx 作为反向代理来做请求转发,可以避免直接暴露后端接口,主要原因在于 **Nginx 充当了客户端与后端服务之间的中间层**,所有外部请求都先经过 Nginx,再由 Nginx 转发给后端服务。这样,后端服务就可以部署在内网或防火墙之后,无需直接对外暴露其 IP 和端口。 --- ### ✅ 为什么不需要开放后端接口? 1. **网络隔离(安全)** - 后端服务可以运行在私有网络中(如 `192.168.x.x` 或 Docker 内部网络),只允许 Nginx 所在的服务器访问。 - 外部用户只能访问 Nginx 的公网 IP 和端口(通常是 80/443),无法直接连接到后端服务的端口(如 3000、8080 等)。 2. **统一入口** - 所有请求都通过 Nginx 进入系统,便于集中管理:负载均衡、SSL 终止、缓存、限流、日志记录等。 3. **隐藏技术细节** - 外部看不到你用了什么语言写的后端(Node.js、Python、Java?)、监听什么端口、甚至不知道有多少个服务。 --- ### 🛠 示例配置 假设你的前端是静态页面,后端 API 运行在 `http://localhost:3000`,我们用 Nginx反向代理: ```nginx server { listen 80; server_name api.example.com; # 所有 /api 开头的请求转发到后端 location /api/ { proxy_pass http://localhost:3000/; proxy_set_header Host $host; proxy_set_header X-Real-IP $remote_addr; proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for; proxy_set_header X-Forwarded-Proto $scheme; } # 静态资源(可选) location / { root /var/www/html; index index.html; try_files $uri $uri/ =404; } } ``` #### 解释: - 客户端访问 `http://api.example.com/api/users` → Nginx 接收到请求。 - Nginx 将这个请求转发给 `http://localhost:3000/users`(即后端服务)。 - 后端服务只需监听本地 `3000` 端口,**不需要绑定公网 IP,也不需要开放防火墙给外网**。 - 外部用户根本不知道 `3000` 端口的存在。 --- ### 🔒 安全增强建议 你可以进一步加固后端服务的安全性: ```bash # 只允许本机访问后端服务 app.listen(3000, '127.0.0.1') # Node.js 示例 ``` 或者在防火墙中禁止外部访问 3000 端口: ```bash sudo ufw deny 3000 ``` 这样即使有人扫描你的服务器,也发现不了后端服务。 --- ### 总结优势 | 优势 | 说明 | |------|------| | 安全性提升 | 后端不暴露公网 | | 易于维护 | 统一路由、日志、证书管理 | | 支持负载均衡 | 可将请求分发到多个后端实例 | | SSL 终止 | HTTPS 在 Nginx 解密,后端走 HTTP 内网通信 | ---
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

dapeng-大鹏

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值