Nginx配置正向代理和反向代理,实现HTTPS通信的案例
问题描述
问题描述
客户端直接通过HTTP访问内部服务是不安全的,如果在不改造客户端和内部服务的情况下实现HTTPS的安全信息传输?这里使用了nginx的正向代理和反向代理,如上图所示。
使用OpenSSL生成证书
openssl req -x509 -nodes -days 36500 -newkey rsa:2048 -keyout /home/data/ssl/nginx.key -out /home/data/ssl/nginx.crt
image.png
其中proxy.test.com为绑定的域名。
Nginx反向代理配置
server {
listen 443 ssl;
server_name proxy.test.com;
root /home/data/proxy;
ssl_certificate /home/data/ssl/nginx.crt;
ssl_certificate_key /home/data/ssl/nginx.key;
ssl_session_cache shared:SSL:1m;
ssl_session_timeout 5m;
#禁止在header中出现服务器版本,防止黑客利用版本漏洞攻击
server_tokens off;
#如果是全站 HTTPS 并且不考虑 HTTP 的话,可以加入 HSTS 告诉你的浏览器本网站全站加密,并且强制用 HTTPS 访问
fastcgi_param HTTPS on;
fastcgi_param HTTP_SCHEME https;
location /api/
{
rewrite ^/api/(.*) /$1 break;
proxy_pass http://192.168.10.191:8080;
}
}
Nginx正向代理的配置
server {
listen 80;
server_name www.forwordproxy.com;
resolver 8.8.8.8;
location / {
proxy_pass https://$http_host$request_uri;
}
error_page 500 502 503 504 /index.html;
location = /index.html {
root /home/data/forwordproxy;
}
}
使用wget进行测试
验证证书
wget --ca-certificate=/home/data/ssl/nginx.crt -e "http_proxy=http://www.forwordproxy.com" "https://proxy.test.com/interface/test"
使用上面生成的nging.crt证书,通过正向代理,访问反向代理服务接口。
不验证证书
wget --no-check-certificate -e "http_proxy=http://www.forwordproxy.com" "https://proxy.test.com/interface/test"
备注
域名都需要配置/etc/hosts