在nginx中使用ssl上游的proxy_pass

时间:2014-03-06 23:56:20

标签: ssl nginx reverse-proxy proxypass

我正在尝试配置子域以将请求代理到我无法控制的其他服务器。一位朋友运行该服务器,他使用自己的CA来避免支付ssl证书。我尝试将我的配置代理到我自己的子域之一,运行有效的ssl证书,并且它工作正常,但是一旦我代理他和他的“无效”ssl证书,nginx一直问我的凭据。

这是我的配置:

server
{

listen                          [::]:443 ssl spdy;
listen                          443 ssl;
server_name                     subdomain.mydomain.tld;


ssl_prefer_server_ciphers   on;
ssl_protocols               TLSv1 TLSv1.1 TLSv1.2;
ssl_ciphers                 'ECDHE-RSA-AES256-GCM-SHA384:ECDHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-SHA384:ECDHE-RSA-AES128-SHA256:ECDHE-RSA-AES256-SHA:ECDHE-RSA-AES128-SHA:DHE-RSA-AES256-SHA256:DHE-RSA-AES128-SHA256:DHE-RSA-AES256-SHA:DHE-RSA-AES128-SHA:ECDHE-RSA-DES-CBC3-SHA:EDH-RSA-DES-CBC3-SHA:AES256-GCM-SHA384:AES128-GCM-SHA256:AES256-SHA256:AES128-SHA256:AES256-SHA:AES128-SHA:DES-CBC3-SHA:HIGH:!aNULL:!eNULL:!EXPORT:!CAMELLIA:!DES:!MD5:!PSK:RC4';
ssl_session_cache           shared:SSL:10m;
ssl_dhparam                 /etc/ssl/certs/dhparam.pem;
ssl_session_timeout         5m;
ssl_certificate             /etc/ssl/mydomain.crt;
ssl_certificate_key         /etc/ssl/mydomain.key;
ssl_stapling                on;
ssl_stapling_verify         on;
ssl_trusted_certificate     /etc/ssl/startssl.pem;
add_header                  Strict-Transport-Security max-age=63072000;

root                            /path/;
location /
{
    index                   /_h5ai/server/php/index.php;
    auth_basic              "mydomain";
    auth_basic_user_file    auth_file;
}

location /friend/
{
    rewrite                 ^/friend/(.*)  /$1 break;
    proxy_set_header        Authorization "Basic base64_encoded";
    proxy_pass              https://subdomain.friend.tld:443/blah/;
}

location ~ .php$
{
    fastcgi_pass            127.0.0.1:4242;
    include                 fastcgi.conf;
    fastcgi_read_timeout    3600;
}
}

我在日志中没有任何错误。 我可以在/朋友之外浏览一切都很好,它可以正常验证,但是一旦我进入/朋友身份验证,就会像我输错密码一样弹出。 我知道我的base64编码是有效的,我通过在我的一个子域上复制相同的auth来测试它并且它工作正常,所以我能想到的唯一解释是nginx不喜欢他的证书。

我是否会错过一些允许我信任他的CA的配置? 或者只是为了禁用验证,数据根本不合理,即使在http上也没问题,但是他不想在他的服务器上配置它。因此,禁用验证对我来说是一个很好的解决方案。

由于

1 个答案:

答案 0 :(得分:2)

您应该将朋友的CA证书(不是Web服务器证书,而是他创建并用于签署其Web服务器证书的CA证书)安装到默认的OpenSSL CA存储中。

首先,您需要确定OpenSSL在系统中保存文件的位置。在Linux上通常是:

cd /etc/ssl/certs

以PEM格式将朋友的CA证书保存到该目录中。

然后你需要确定该证书的哈希值:

openssl x509 -noout -hash -in your-friends-ca.pem

并创建一个符号链接到cert文件,其中哈希为文件名,文件扩展名为.0

ln -s your-friends-ca.pem 34ae50c5.0

然后重启Nginx。