我正在尝试配置子域以将请求代理到我无法控制的其他服务器。一位朋友运行该服务器,他使用自己的CA来避免支付ssl证书。我尝试将我的配置代理到我自己的子域之一,运行有效的ssl证书,并且它工作正常,但是一旦我代理他和他的“无效”ssl证书,nginx一直问我的凭据。
这是我的配置:
server
{
listen [::]:443 ssl spdy;
listen 443 ssl;
server_name subdomain.mydomain.tld;
ssl_prefer_server_ciphers on;
ssl_protocols TLSv1 TLSv1.1 TLSv1.2;
ssl_ciphers 'ECDHE-RSA-AES256-GCM-SHA384:ECDHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-SHA384:ECDHE-RSA-AES128-SHA256:ECDHE-RSA-AES256-SHA:ECDHE-RSA-AES128-SHA:DHE-RSA-AES256-SHA256:DHE-RSA-AES128-SHA256:DHE-RSA-AES256-SHA:DHE-RSA-AES128-SHA:ECDHE-RSA-DES-CBC3-SHA:EDH-RSA-DES-CBC3-SHA:AES256-GCM-SHA384:AES128-GCM-SHA256:AES256-SHA256:AES128-SHA256:AES256-SHA:AES128-SHA:DES-CBC3-SHA:HIGH:!aNULL:!eNULL:!EXPORT:!CAMELLIA:!DES:!MD5:!PSK:RC4';
ssl_session_cache shared:SSL:10m;
ssl_dhparam /etc/ssl/certs/dhparam.pem;
ssl_session_timeout 5m;
ssl_certificate /etc/ssl/mydomain.crt;
ssl_certificate_key /etc/ssl/mydomain.key;
ssl_stapling on;
ssl_stapling_verify on;
ssl_trusted_certificate /etc/ssl/startssl.pem;
add_header Strict-Transport-Security max-age=63072000;
root /path/;
location /
{
index /_h5ai/server/php/index.php;
auth_basic "mydomain";
auth_basic_user_file auth_file;
}
location /friend/
{
rewrite ^/friend/(.*) /$1 break;
proxy_set_header Authorization "Basic base64_encoded";
proxy_pass https://subdomain.friend.tld:443/blah/;
}
location ~ .php$
{
fastcgi_pass 127.0.0.1:4242;
include fastcgi.conf;
fastcgi_read_timeout 3600;
}
}
我在日志中没有任何错误。 我可以在/朋友之外浏览一切都很好,它可以正常验证,但是一旦我进入/朋友身份验证,就会像我输错密码一样弹出。 我知道我的base64编码是有效的,我通过在我的一个子域上复制相同的auth来测试它并且它工作正常,所以我能想到的唯一解释是nginx不喜欢他的证书。
我是否会错过一些允许我信任他的CA的配置? 或者只是为了禁用验证,数据根本不合理,即使在http上也没问题,但是他不想在他的服务器上配置它。因此,禁用验证对我来说是一个很好的解决方案。
由于
答案 0 :(得分:2)
您应该将朋友的CA证书(不是Web服务器证书,而是他创建并用于签署其Web服务器证书的CA证书)安装到默认的OpenSSL CA存储中。
首先,您需要确定OpenSSL在系统中保存文件的位置。在Linux上通常是:
cd /etc/ssl/certs
以PEM格式将朋友的CA证书保存到该目录中。
然后你需要确定该证书的哈希值:
openssl x509 -noout -hash -in your-friends-ca.pem
并创建一个符号链接到cert文件,其中哈希为文件名,文件扩展名为.0
:
ln -s your-friends-ca.pem 34ae50c5.0
然后重启Nginx。