vlambda博客
学习文章列表

问题描述

问题描述

客户端直接通过HTTP访问内部服务是不安全的，如果在不改造客户端和内部服务的情况下实现HTTPS的安全信息传输？这里使用了nginx的正向代理和反向代理，如上图所示。

使用OpenSSL生成证书

openssl req -x509 -nodes -days 36500 -newkey rsa:2048 -keyout /home/data/ssl/nginx.key -out /home/data/ssl/nginx.crt

image.png

其中proxy.test.com为绑定的域名。

Nginx反向代理配置

server {
        listen 443 ssl;
        server_name proxy.test.com;
        root  /home/data/proxy;

        ssl_certificate /home/data/ssl/nginx.crt;
        ssl_certificate_key /home/data/ssl/nginx.key;
        ssl_session_cache    shared:SSL:1m;
        ssl_session_timeout  5m;
        #禁止在header中出现服务器版本，防止黑客利用版本漏洞攻击
        server_tokens off;
        #如果是全站 HTTPS 并且不考虑 HTTP 的话，可以加入 HSTS 告诉你的浏览器本网站全站加密，并且强制用 HTTPS 访问
        fastcgi_param   HTTPS               on;
        fastcgi_param   HTTP_SCHEME         https;

        location /api/
        {
            rewrite ^/api/(.*) /$1 break;
            proxy_pass http://192.168.10.191:8080;
        }      
}

Nginx正向代理的配置

server {
    listen       80;
       server_name  www.forwordproxy.com;

       resolver 8.8.8.8;
       location / {

         proxy_pass https://$http_host$request_uri;
      }

       error_page   500 502 503 504  /index.html;
       location = /index.html {
         root   /home/data/forwordproxy;
       }
}

使用wget进行测试

验证证书

wget --ca-certificate=/home/data/ssl/nginx.crt -e "http_proxy=http://www.forwordproxy.com" "https://proxy.test.com/interface/test"

使用上面生成的nging.crt证书，通过正向代理，访问反向代理服务接口。

不验证证书

wget --no-check-certificate  -e "http_proxy=http://www.forwordproxy.com" "https://proxy.test.com/interface/test"

备注

• 域名都需要配置/etc/hosts