Nginx proxy_pass到https后端

原创 已于 2023-07-05 18:01:13 修改 · 5k 阅读 · 11 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#数据库

于 2023-06-30 15:09:24 首次发布
该文介绍了如何为NGINX生成自签名证书以及客户端和服务器证书,然后在NGINX配置中设置这些证书,以实现与上游服务器间的安全HTTPS通信。通过启用SSL/TLS验证,确保了数据传输的安全性。

目录

生成证书(自签名证书需要)

配置NGINX

官网链接

使用SSL/TLS加密,确保NGINX或NGINX Plus与上游服务器之间的HTTP流量安全。
本文解释了如何加密NGINX和上游组或代理服务器之间的HTTP流量。

生成证书(自签名证书需要)

     1. 生成自签名CA证书。

openssl genrsa -out ca.key 2048
openssl req -new -key ca.key -out ca.csr
openssl x509 -req -sha256 -days 365 -in ca.csr -signkey ca.key -out ca.crt
  1. 生成客户端证书和密钥。
openssl genrsa -out client.key 2048
openssl req -new -key client.key -out client.csr
openssl x509 -req -sha256 -days 365 -in client.csr -CA ca.crt -CAkey ca.key -set_serial 01 -out client.crt
  1. 生成服务器证书和密钥。
openssl genrsa -out server.key 2048
openssl req -new -key server.key -out server.csr
openssl x509 -req -sha256 -days 365 -in server.csr -CA ca.crt -CAkey ca.key -set_serial 01 -out server.crt

配置NGINX

http {
    #...
    upstream backend.example.com {
        server backend1.example.com:443;
        server backend2.example.com:443;
   }

    server {
        listen      80;
        server_name www.example.com;
        #...

        location /upstream {
            proxy_pass                    https://backend.example.com;
            # 连接上游服务器时,供上游服务器验证的证书
            proxy_ssl_certificate         /etc/nginx/client.pem;
            proxy_ssl_certificate_key     /etc/nginx/client.key;
            proxy_ssl_protocols           TLSv1 TLSv1.1 TLSv1.2;
            proxy_ssl_ciphers             HIGH:!aNULL:!MD5;
            # // 验证上游服务器时,使用的ca证书
            proxy_ssl_trusted_certificate /etc/nginx/trusted_ca_cert.crt;

            proxy_ssl_verify        on;
            proxy_ssl_verify_depth  2;
            # 每次连接都需要完整的ssl握手,消耗cpu较大,加上此参数,可以复用连接,减少握手次数
            proxy_ssl_session_reuse on;
            proxy_ssl_server_name  on;
            # 次参数不是太懂
            proxy_ssl_name backend.example.com;
        }
    }

    server {
        listen      443 ssl;
        server_name backend1.example.com;

        ssl_certificate        /etc/ssl/certs/server.crt;
        ssl_certificate_key    /etc/ssl/certs/server.key;
        # 验证客户端使用的CA证书
        ssl_client_certificate /etc/ssl/certs/ca.crt;
        # 开启验证客户端
        ssl_verify_client      on;

        location /yourapp {
            proxy_pass http://url_to_app.com;
        #...
        }

    server {
        listen      443 ssl;
        server_name backend2.example.com;

        ssl_certificate        /etc/ssl/certs/server.crt;
        ssl_certificate_key    /etc/ssl/certs/server.key;
        ssl_client_certificate /etc/ssl/certs/ca.crt;
        ssl_verify_client      on;

        location /yourapp {
            proxy_pass http://url_to_app.com;
        #...
        }
    }
}

官网链接

官网文档

nginxproxy_pass代理后端https请求完全拆解 原
阳光梦的专栏
09-08 3万+
前言 本文解释了怎么对nginx后端服务器组或代理服务器进行加密http通信。 https://my.oschina.net/foreverich/blog/1517128?utm_medium=referral 内容提纲 前提条件 获取SSL服务端证书 获取SSL客户端证书 配置nginx 配置后端服务器 完整示例 前提条件 nginx源码或nginx plus源码 一个...
Nginxproxy_pass 使用简介
m0_74823863的博客
02-14 1314
proxy_pass指令用于将请求转发到后端服务器。它可以用于 HTTP 和 Stream 模块,分别处理 HTTP 请求和 TCP/UDP 流量。
nginxproxy_pass代理后端https请求
weixin_34119545的博客
03-12 5231
本文转载自 https://my.oschina.net/foreverich/blog/1517128 前言本文解释了怎么对nginx后端服务器组或代理服务器进行加密http通信。 内容提纲前提条件获取SSL服务端证书获取SSL客户端证书配置nginx配置后端服务器完整示例前提条件nginx源码或nginx plus源码一个代理服务器或一个代理服务器组SSL证书和私钥获取SSL服务端证书你可以...
nginxproxy_pass代理后端https请求完全拆解
weixin_34278190的博客
08-19 2382
2019独角兽企业重金招聘Python工程师标准>>> ...
nginxproxy_pass详解
最新发布
Made In SQL
10-07 1043
proxy_passnginx中用于反向代理的核心指令,它允许nginx将客户端的请求转发到后端服务器,并将响应返回给客户端。proxy_passnginx 中用于实现请求转发的指令,它可以将客户端的请求转发到后端服务器处理。proxy_passnginx 反向代理功能的核心指令,通过合理配置可以实现多种复杂的代理场景,满足现代 Web 架构的各种需求。这个例子根据User-Agent将移动设备请求转发到不同的后端服务器。这种配置实现了简单的轮询负载均衡,将请求分发到多个后端服务器。
nginx proxy_pass https地址502
愤怒的苹果ext的博客
08-03 535
摘要:测试环境中将HTTP地址的/custom_api/代理到HTTPS地址时出现502错误,日志显示TLS握手失败(SSL alert 112)。排查发现是Host头配置问题,修改Nginx配置中的proxy_set_header Host为目标地址的域名(如xxx.top),并启用proxy_ssl_server_name后代理成功。关键解决步骤包括:显式指定上游服务的Host、使用DNS解析器(如8.8.8.8),并调整SSL相关头部参数。参考了HTTPS代理配置的通用解决方案。
nginx(六十)proxy模块(一)proxy_pass指令
热门推荐
wzj_110的博客
11-23 1万+
proxy_pass深入讲解
Nginx proxy_pass代理规则
进阶的蜗牛
07-04 1254
3、当proxy_pass带目录的情况,不管目录后面是否带 /,代理地址中都会去掉location部分,且不在location路径中的部分会添加到代理地址中。2、当proxy_pass不带目录且带 / 的情况下,会去掉location中的部分,请求地址中多余路径会添加到代理地址中;1、当proxy_pass不带目录且不带 / 的情况下,会将location路径中的部分添加到代理地址中。好了,这就是 Nginx proxy_pass代理的全部匹配规则了,如有问题可与博主一起交流讨论!
记一次nginxproxy_pass的使用问题
09-30
在这篇文章中,我们了解到一个关于Nginx反向代理模块中的proxy_pass指令的使用问题。这主要发生在对线上HTTP服务进行域名解析调整后,由于Nginx缓存了域名解析结果,导致配置变更未能立即生效。下面将详细介绍nginx...
Nginx 反向代理基础:Proxy_pass 配置完全指南
记录学习的过程
05-27 1342
本文全面解析Nginx反向代理核心指令proxy_pass的配置与应用。主要内容包括:反向代理基础概念与工作模式、proxy_pass基本配置规则与URI处理机制、代理请求头设置与性能优化参数、负载均衡实现与算法选择。同时深入探讨了高级应用场景如WebSocket代理、安全防护措施、缓存优化策略,并提供了故障排查方法。文章通过配置示例、参数对比表格和图示,系统性地展示了如何构建高效可靠的反向代理服务,适用于不同协议和业务场景的需求。
Linux中Nginx的HTTP和HTTPS常用配置以及proxy_pass详解
liao3399084的博客
01-12 3338
如果出现 (configure arguments: --with-http_ssl_module), 则已安装(下面的步骤可以跳过,直接进行。解压缩下载好的证书(证书一般是pem文件和key文件,这里名字可以随便改)将下载好的证书上上传到服务器,我将证书放在了root目录下的card文件夹。
Nginx 配置代理https
宝贝企鹅的博客
10-11 801
首先找到nginx.conf文件; 方式1,http和https同时监听,自动跳转https; server { listen 80; listen 443 ssl; server_name www.xxx.com xxx.com; #填写绑定证书的域名 #ssl on; ssl_c...
Nginx proxy_pass 详解
D的博客
09-24 1万+
情形A和情形B进行对比,可以知道proxy_pass后带一个URI,可以是斜杠(/)也可以是其他uri,对后端变量的影响。情形D说明,当location为正则表达式时,proxy_pass不能包含URI部分。情形E通过变量($request_uri, 也可以是其他变量),对后端的进行改写。情形F和情形G通过rewrite配合break标志,对url进行改写,并改写后端的。需要注意,proxy_pass地址的URI部分在情形G中无效,不管如何设置,都会被忽略。
ngxin常用配置--nginxproxy_pass代理后端https请求完全解析
ank11891的博客
12-11 5941
前言 本文解释了怎么对nginx后端服务器或代理服务器进行加密http通信 内容提纲 前提条件 获取SSL服务器证书 获取SSL客户端证书 配置nginx 配置后端服务器 完整示例 前提条件 nginx源码或nginx plus源码 一个代理服务器或一个代理服务器组 SSL证书和私钥 获取SSL服务器证书 你可以从一个可信任证书颁发机构(CA...
Nginx代理:由http到https
gznc_pcc的博客
02-16 4617
基于 SSL 证书,可将站点由 HTTP(Hypertext Transfer Protocol)切换到 HTTPS(Hyper Text Transfer Protocol over Secure Socket Layer),即基于安全套接字层(SSL)进行安全数据传输的加密版 HTTP 协议。 背景:众所众知,一台服务器开放80端口后我们可以直接IP地址访问到web页面,但ip地址暴露会可能会引起一些莫名的网络攻击。通常采取的策略就是去申请一个域名,经过域名绑定我们的ip就可以实现直接使用域名来访问.
nginx proxy_pass https
04-30
<think>好的,我现在需要帮助用户配置Nginx使用proxy_pass转发到HTTPS服务。首先,我得回想一下用户的问题:用户想知道如何设置Nginxproxy_pass指向一个HTTPS后端服务。可能用户已经知道基本的HTTP转发,但HTTPS需要额外配置,比如SSL证书验证或者代理头设置。 首先,我应该确认Nginxproxy_pass配置的基本结构。通常,在HTTP块中的server或location部分使用proxy_pass指令。但如果是转发到HTTPS后端,需要注意后端服务器是否要求SSL验证。默认情况下,Nginx在代理HTTPS时可能不会验证证书,但某些情况下需要配置SSL证书信任。 然后,用户可能需要设置正确的请求头,比如Host头,以确保后端服务器能正确处理请求。例如,后端服务可能需要知道原始的主机名或协议,所以设置proxy_set_header Host $host; 和 proxy_set_header X-Forwarded-Proto $scheme; 是常见的做法。 接下来,考虑SSL相关配置。如果后端服务使用自签名证书,可能需要关闭SSL验证,但这在生产环境中不推荐。不过,用户可能需要知道如何配置ssl_verify参数,比如proxy_ssl_verify off;。同时,如果后端需要客户端证书,可能需要配置proxy_ssl_certificate和proxy_ssl_certificate_key。 然后,我需要检查是否需要配置其他代理参数,比如连接超时、缓冲区大小等,以优化代理性能。例如,proxy_connect_timeout、proxy_send_timeout、proxy_read_timeout这些参数可能需要调整。 用户可能还会遇到常见问题,比如502 Bad Gateway错误,这可能是因为SSL证书验证失败或代理设置不正确。需要提醒用户检查Nginx错误日志,查看具体原因。 最后,生成相关问题,帮助用户进一步了解相关配置,比如如何处理自签名证书、如何优化代理性能,或者如何配置负载均衡到多个HTTPS后端。 确保所有步骤都符合最佳实践,并且配置示例正确,语法无误。同时,引用可能需要参考Nginx官方文档或其他可靠来源,但用户提供的引用示例中没有具体引用内容,所以可能需要避免虚构引用,或者根据实际情况添加。</think>要配置 Nginx 使用 `proxy_pass` 转发到 HTTPS 服务,需重点关注**SSL协议配置、请求头传递和证书验证**。以下是具体步骤和配置示例: --- ### 一、基础配置模板 在 Nginx 的 `server` 块中添加以下配置: ```nginx location / { proxy_pass https://backend-server.com; # HTTPS 目标地址 proxy_set_header Host $host; proxy_set_header X-Real-IP $remote_addr; proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for; proxy_set_header X-Forwarded-Proto $scheme; # SSL 配置 proxy_ssl_server_name on; # 传递 SNI(Server Name Indication) proxy_ssl_protocols TLSv1.2 TLSv1.3; # 指定 TLS 版本 proxy_ssl_verify off; # 关闭证书验证(测试环境用) proxy_ssl_trusted_certificate /path/to/ca_certs.pem; # 信任的 CA 证书(生产环境需启用) } ``` - **关键参数说明**: - `proxy_ssl_server_name on`:启用 SNI,确保后端服务器能识别域名[^1]。 - `proxy_ssl_verify off`:仅用于测试环境或自签名证书场景,生产环境应配置 CA 证书路径并设为 `on`。 - `proxy_set_header` 系列:传递原始请求信息,避免后端服务丢失客户端真实 IP 或协议类型。 --- ### 二、生产环境安全配置 1. **启用证书验证**: ```nginx proxy_ssl_verify on; proxy_ssl_verify_depth 2; proxy_ssl_trusted_certificate /etc/nginx/ssl/ca-bundle.crt; # 系统或自定义 CA 证书 ``` 2. **指定 SSL 会话复用**(提升性能): ```nginx proxy_ssl_session_reuse on; ``` --- ### 三、常见问题排查 1. **502 Bad Gateway 错误**: - 检查后端服务是否监听 HTTPS 端口(默认 443)。 - 查看 Nginx 错误日志:`tail -f /var/log/nginx/error.log`。 - 若使用自签名证书,临时关闭验证 `proxy_ssl_verify off` 测试连通性。 2. **SNI 未传递**: - 确保 `proxy_ssl_server_name on` 已启用,否则后端可能拒绝多域名 HTTPS 请求。 --- ### 四、完整配置示例 ```nginx server { listen 80; server_name proxy.example.com; location / { proxy_pass https://https-backend.com; proxy_set_header Host $host; proxy_set_header X-Forwarded-Proto $scheme; # SSL 安全配置 proxy_ssl_server_name on; proxy_ssl_protocols TLSv1.2 TLSv1.3; proxy_ssl_verify on; proxy_ssl_trusted_certificate /etc/ssl/certs/ca-certificates.crt; proxy_ssl_session_reuse on; # 超时设置 proxy_connect_timeout 5s; proxy_send_timeout 60s; proxy_read_timeout 60s; } } ``` ---
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值