Alt*_*ime 8 ssl nginx reverse-proxy ssl-certificate
需要澄清 nginx 反向代理服务器上的上游 SSL
我一直在阅读有关反向代理和保护与上游服务器的 ssl 连接的nginx 文档,但我仍然对哪些 ssl 证书去哪里感到困惑。我发现的许多示例都有 nginx 代理本地主机,但我的情况是端点位于不同的服务器、端口和物理位置。
我想在 nginx 服务器上解析多个域。每个域在其当前服务器上都有一个用于其实际域名的 ssl 证书。
现在,我的每台服务器都在其自己的网络位置和物理位置上运行,但我希望有一个点来管理这些端点。
我的最终结果应该是这样的
client
|
nginx
https://example1.com
https://example2.com
https://example3.com
x.x.x.x
|
-----------------------------------------
| | |
https://example1.com https://example2.com https://example3.com
a.b.c.d:1234 e.f.g.h:5678 i.j.k.l:9012
现在https://example1.com解析为 abcd:1234,它安装了自己的 ssl 证书。因为我需要向客户端表示 nginx 服务器正在为域 example1.com 提供服务,所以我认为我需要将 example1.com ssl 移至前端运行的 nginx 服务器,对吧?如果我这样做,我应该在 abcd:1234 上使用什么 ssl 证书来维护安全的上游连接?
nginx 文档说 client.crt 和 server.crt,但 CA 使用域来注册它们。反向代理情况下的客户端和服务器是什么?对我来说,客户端是发出请求的浏览器。
哪些 ssl 证书位于反向代理上的哪个位置?
编辑:
我已经知道,只需将基于 url 的证书放在代理服务器上,您就可以看起来拥有安全连接。我希望知道的是要在后端服务器上放置哪些 ssl 证书。只是重复使用各自的证书吗?example1.com.crt代理服务器和后端服务器都可以吗?
域的证书应该放在客户端“看到”它的地方,因此在您的情况下,如果您只想从互联网上使用 nginx 服务器,则所有公共证书都应该转到 nginx 服务器。
如果您想保护后端连接,您可以在这些服务器上使用您想要的任何证书。您甚至可以使用自签名的证书,并禁用 nginx 服务器上的证书检查,但创建自己的 CA 并将证书分发到后端可能更明智。
您的配置看起来与您绘制的完全一样,除了后端服务器将具有与其“内部”名称匹配的内部证书:
client
|
nginx
(https://example1.com)
(https://example1.com)
(https://example1.com)
|
+---------------------------------------+-----------------------------------+
| | |
| | |
https://example1.internal.local/ https://example2.internal.local/ https://example3.internal.local/
a.b.c.d e.f.g.h i.j.k.l
如果可以从 Internet 访问后端服务器,那么您可能需要对它们的 https 端口进行防火墙,以便只有 nginx 服务器可以连接它们。
关于您有关客户端和服务器的问题:在网络中,客户端是发起连接的人。因此,在您的设置中,浏览器是客户端,而 nginx 服务器同时是客户端和服务器:它是浏览器的服务器,但它是后端服务器的客户端。