那些遇到过的问题

配置 Nginx 将客户端证书转发到后端

BaS*_*Sic 5 ssl https certificate nginx x509

我为两种方式的 ssl 配置了一个 Spring Boot 服务,以使用证书验证客户端。它在 nginx 代理服务器后面。所以需求是配置nginx提供来自客户端的透明https连接,并将客户端证书转发到webservice(backend)进行验证。还为不需要客户端身份验证的其他服务配置一种方式 ssl。

就像是:

  1. |客户| -->httpS + 客户端证书--->|NGINX|--->httpS + 客户端证书--->|服务1|

  2. |客户| ------------>httpS----------->|NGINX| ------------>http------------>|服务 2|

我的 nginx 配置:

server {
    listen       443;
    server_name  xx.xx.xx.xxx;

     ssl on;
     ssl_certificate      /path/to/server/cert.crt;
     ssl_certificate_key  /path/to/server/key.key;
     ssl_client_certificate /path/to/ca.crt;
     ssl_verify_client optional;

     location /service1/ {
         proxy_pass https://service1:80/;   
         #Config to forward client certificate or to forward ssl connection(handshake) to service1
     }

     location /service2/ {
         proxy_pass http://service2:80/;
         #http connection
     }
}
Run Code Online (Sandbox Code Playgroud)

另外,有没有办法从证书中获取通用名称来验证客户端并在 nginx 中做出决定?因为使用 CA 是不够的。

谢谢..

小智 4

这不可能。您尝试做的是将 nginx 代理设置为“中间人”,而 TLS 的设计不允许这样做。

归档时间:

查看次数:

4155 次

最近记录:

6 年,9 月 前
相关归档
来自nginx /乘客的"来自申请的不完整回复" 66
代码签名错误:身份'iPhone Developer:x Xxxxx'与任何配置文件中的任何身份都不匹配 33
如何从 PKCS#7 生成 .key 和 .crt 9
我可以在哪里存储我的 IOS 证书文件 (.p12)? 5
stream_socket_client 错误 4
python3 aiohttp服务器无法获取nginx后面的真实ip 3
解析节点中的 x509 证书字符串 3
rails puma - 没有配置文件的命令 - 错误日志的路径? 2
带有证书管理器的 Istio Kubernetes Ingress:在版本“certmanager.k8s.io/v1alpha1”中没有匹配种类“证书” 2
nginx正在提供下载而不是php页面 1
难疑归档
如何在提交前撤消'git add'? 8567
如何重命名本地Git分支? 8033
配置错误:此配置部分不能在此路径中使用 1694
如何将元素移动到另一个元素? 1611
重命名pandas中的列 1601
@classmethod和@staticmethod对初学者的意义? 1532
为什么将0.1f改为0会使性能降低10倍? 1491
如何创建文件并用Java写入? 1336
修复一个Git分离的头? 1318
我如何开始使用Node.js 1264