Nginx配置正向代理和反向代理,实现HTTPS通信的案例

Posted 凌萱技术

tags:

篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了Nginx配置正向代理和反向代理,实现HTTPS通信的案例相关的知识,希望对你有一定的参考价值。

问题描述

问题描述


客户端直接通过HTTP访问内部服务是不安全的,如果在不改造客户端和内部服务的情况下实现HTTPS的安全信息传输?这里使用了nginx的正向代理和反向代理,如上图所示。

使用OpenSSL生成证书

openssl req -x509 -nodes -days 36500 -newkey rsa:2048 -keyout /home/data/ssl/nginx.key -out /home/data/ssl/nginx.crt

image.png

其中proxy.test.com为绑定的域名。

Nginx反向代理配置

server {
listen 443 ssl;
server_name proxy.test.com;
root /home/data/proxy;

ssl_certificate /home/data/ssl/nginx.crt;
ssl_certificate_key /home/data/ssl/nginx.key;
ssl_session_cache shared:SSL:1m;
ssl_session_timeout 5m;
#禁止在header中出现服务器版本,防止黑客利用版本漏洞攻击
server_tokens off;
#如果是全站 HTTPS 并且不考虑 HTTP 的话,可以加入 HSTS 告诉你的浏览器本网站全站加密,并且强制用 HTTPS 访问
fastcgi_param HTTPS on;
fastcgi_param HTTP_SCHEME https;

location /api/
{
rewrite ^/api/(.*) /$1 break;
proxy_pass http://192.168.10.191:8080;
}
}

Nginx正向代理的配置

server {
listen 80;
server_name www.forwordproxy.com;

resolver 8.8.8.8;
location / {

proxy_pass https://$http_host$request_uri;
}

error_page 500 502 503 504 /index.html;
location = /index.html {
root /home/data/forwordproxy;
}
}

使用wget进行测试

验证证书

wget --ca-certificate=/home/data/ssl/nginx.crt -e "http_proxy=http://www.forwordproxy.com" "https://proxy.test.com/interface/test"

使用上面生成的nging.crt证书,通过正向代理,访问反向代理服务接口。

不验证证书

wget --no-check-certificate  -e "http_proxy=http://www.forwordproxy.com" "https://proxy.test.com/interface/test"

备注

  • 域名都需要配置/etc/hosts

以上是关于Nginx配置正向代理和反向代理,实现HTTPS通信的案例的主要内容,如果未能解决你的问题,请参考以下文章

Nginx正向代理配置

Nginx正向代理与反向代理

Nginx的正向代理和反向代理

正向代理/反向代理理解Nginx概述安装及配置详解

Nginx反向代理常用配置

nginx使用学习之正向代理反向代理负载均衡(配置实例详解)