vlambda博客
学习文章列表

Nginx配置正向代理和反向代理,实现HTTPS通信的案例

问题描述

问题描述


客户端直接通过HTTP访问内部服务是不安全的,如果在不改造客户端和内部服务的情况下实现HTTPS的安全信息传输?这里使用了nginx的正向代理和反向代理,如上图所示。

使用OpenSSL生成证书

openssl req -x509 -nodes -days 36500 -newkey rsa:2048 -keyout /home/data/ssl/nginx.key -out /home/data/ssl/nginx.crt

image.png

其中proxy.test.com为绑定的域名。

Nginx反向代理配置

server {
listen 443 ssl;
server_name proxy.test.com;
root /home/data/proxy;

ssl_certificate /home/data/ssl/nginx.crt;
ssl_certificate_key /home/data/ssl/nginx.key;
ssl_session_cache shared:SSL:1m;
ssl_session_timeout 5m;
#禁止在header中出现服务器版本,防止黑客利用版本漏洞攻击
server_tokens off;
#如果是全站 HTTPS 并且不考虑 HTTP 的话,可以加入 HSTS 告诉你的浏览器本网站全站加密,并且强制用 HTTPS 访问
fastcgi_param HTTPS on;
fastcgi_param HTTP_SCHEME https;

location /api/
{
rewrite ^/api/(.*) /$1 break;
proxy_pass http://192.168.10.191:8080;
}
}

Nginx正向代理的配置

server {
listen 80;
server_name www.forwordproxy.com;

resolver 8.8.8.8;
location / {

proxy_pass https://$http_host$request_uri;
}

error_page 500 502 503 504 /index.html;
location = /index.html {
root /home/data/forwordproxy;
}
}

使用wget进行测试

验证证书

wget --ca-certificate=/home/data/ssl/nginx.crt -e "http_proxy=http://www.forwordproxy.com" "https://proxy.test.com/interface/test"

使用上面生成的nging.crt证书,通过正向代理,访问反向代理服务接口。

不验证证书

wget --no-check-certificate  -e "http_proxy=http://www.forwordproxy.com" "https://proxy.test.com/interface/test"

备注

  • 域名都需要配置/etc/hosts