那些遇到过的问题

如何在Nginx中为自定义位置设置双向SSL?

bma*_*ets 2 ssl configuration nginx ssl-certificate

我有一个带有一些API的Rails 4项目。

该项目与运行nginx v.1.6.3https生产。

Nginx配置:

upstream app {
    # Path to Unicorn SOCK file, as defined previously
    server unix:/tmp/unicorn.my_domain.sock fail_timeout=0;
}

server {
       listen         80;
       server_name    my_domain.com;
       return         301 https://$server_name$request_uri;
}

server {
    listen 443 ssl;

    ssl_certificate /etc/nginx/ssl/public.crt;
    ssl_certificate_key /etc/nginx/ssl/private.rsa;    

    server_name my_domain.com;

    root /var/www/current;

    location /assets {
        root /var/www/current/public;
        gzip_static on;
        expires max;
        add_header Cache-Control public;
    }

    try_files $uri/index.html $uri @app;

    location @app {
        proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
        proxy_set_header Host $http_host;
        proxy_redirect off;
        proxy_pass http://app;
    }

    error_page 500 502 503 504 /500.html;
    client_max_body_size 4G;
    keepalive_timeout 10;
}
Run Code Online (Sandbox Code Playgroud)

问题

API请求(POST /api/some_path/create等)应使用双向SSL保护。

只有一项服务将使用此API(只有1个客户端具有一个证书)

  1. Nginx是否可以处理two-way SSL
  2. two-way SSL应该在nginx层上实现,而不是在Web应用程序逻辑中实现。我对吗?
  3. 如何设置nginx以捕获发送请求到/api/...url并对其进行身份验证的客户端two-way SSL

我只需要一个基本示例,以了解它应该如何工作。

小智 6

  1. 是(请参阅ssl_client_certificatessl_verify_client指令)。
  2. 取决于您的应用程序,但是在这种情况下,您只需要验证证书是由某个CA签名的,那是正确的。

  3. 您将需要创建一个CA和由该CA签名的客户端证书,并使用该CA在服务器端验证客户端证书。

    现在,您需要考虑的是如何解决ssl_client_certificatessl_verify_client指令不支持在位置块中使用的问题(例如,它们只能在http或服务器块中使用)。

    我建议为API创建一个自己的子域(例如api.my_domain.com),并使用该地址从服务访问API。

配置示例:

server {
    listen 443 ssl;

    ssl_certificate /etc/nginx/ssl/public.crt;
    ssl_certificate_key /etc/nginx/ssl/private.rsa;

    ssl_client_certificate /etc/nginx/ssl/client_ca.pem;
    ssl_verify_client on;

    server_name api.my_domain.com;

    location / {
        proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
        proxy_set_header Host $http_host;
        proxy_redirect off;
        proxy_pass http://app/api;
    }
}
Run Code Online (Sandbox Code Playgroud)

归档时间:

查看次数:

7455 次

最近记录:

7 年,3 月 前
相关归档
linux/unix中ini/config文件的位置? 63
在JVM中注册多个密钥库 49
HAProxy - 基于URL的路由与负载平衡 35
服务器端自动缩小? 10
生产更新后,我要重新启动nginx和gunicorn吗? 6
NGINX try_files没有传递给PHP 5
hadoop.tmp.dir 到底应该在哪里设置?core-site.xml 还是 hdfs-site.xml? 4
Nginx,臭名昭着的"输入文件未指定",包括解决方案,并可能解释所需的解决方案 2
Openresty 自定义 json 访问日志 2
C#应用程序配置数据 0
难疑归档
使用Git将最近的提交移动到新分支 4647
使用Git将我的最后一次X提交压缩在一起 3294
package.json中的波浪号(〜)和插入符号(^)有什么区别? 3111
Flash CS4拒绝放手 2735
如何检查字符串是否包含特定单词? 2663
在JavaScript中将字符串转换为整数? 1603
如何在不注销并重新登录的情况下重新加载.bashrc? 1510
ORM(对象关系映射)中的"N + 1选择问题"是什么? 1507
<meta charset ="utf-8"> vs <meta http-equiv ="Content-Type"> 1499
将绘图保存到图像文件,而不是使用Matplotlib显示它 1060