那些遇到过的问题

Nginx `proxy_ssl_trusted_certificate` 与 LetsEncrypt 上游

fie*_*edl 3 ssl nginx lets-encrypt nginx-reverse-proxy

我正在尝试使用proxy_passnginx 来加密与上游服务器的连接。上游服务器的证书已由 LetsEncrypt certbot 创建。

# upstream server: nginx.conf

stream {
  server {
    listen 636 ssl;

    ssl_certificate /etc/letsencrypt/live/upstream.example.com/fullchain.pem; # managed by Certbot
    ssl_certificate_key /etc/letsencrypt/live/upstream.example.com/privkey.pem; # managed by Certbot

    # ...
  }
}
Run Code Online (Sandbox Code Playgroud)

当不在下游服务器中验证代理证书时,一切正常。

# downstream server: nginx.conf

stream {
  server {
    listen 636 ssl;

    ssl_certificate /etc/letsencrypt/live/downstream.example.com/fullchain.pem; # managed by Certbot
    ssl_certificate_key /etc/letsencrypt/live/downstream.example.com/privkey.pem; # managed by Certbot

    proxy_ssl on;
    proxy_ssl_verify off;

    proxy_pass upstream.example.com:636;

    # ...

  }
}
Run Code Online (Sandbox Code Playgroud)

但是,如果我尝试验证下游服务器上的上游证书,则在 nginx 错误日志中与上游进行 SSL 握手时,会收到上游 SSL 证书验证错误:(2:无法获取颁发者证书) 。

# downstream server: nginx.conf

stream {
  server {
    listen 636 ssl;

    ssl_certificate /etc/letsencrypt/live/downstream.example.com/fullchain.pem; # managed by Certbot
    ssl_certificate_key /etc/letsencrypt/live/downstream.example.com/privkey.pem; # managed by Certbot

    proxy_ssl on;
    proxy_ssl_verify on;
    proxy_ssl_trusted_certificate /etc/nginx/ssl/upstream.example.com/chain.pem;
    proxy_ssl_verify_depth 2;

    proxy_pass upstream.example.com:636;

    # ...

  }
}
Run Code Online (Sandbox Code Playgroud)

如果我尝试连接的上游服务器具有 LetsEncrypt 证书,我需要proxy_ssl_trusted_certificate哪些设置?proxy_ssl_verify_depth

proxy_ssl_verify_depth从 0 到 5 不等,并且使用了上游服务器的fullchain.pemchain.pemcert.pemfor proxy_ssl_trusted_certificate,但每个都不成功。

附加信息

验证CA证书是否openssl有效:

# openssl verify -verify_depth 2 chain.pem
chain.pem: OK
Run Code Online (Sandbox Code Playgroud)

fullchain.pem根据 CA 证书验证来自上游服务器的证书是否有效:

# openssl verify -CAfile chain.pem fullchain.pem
fullchain.pem: OK
Run Code Online (Sandbox Code Playgroud)

进一步参考

fie*_*edl 9

proxy_ssl_trusted_certificateLetsEncrypt 或上游服务器未提供所需的 CA 证书。它已经安装在下游服务器上。

在 Ubuntu 上,CA 证书的位置是/etc/ssl/certs/ca-certificates.crt

# downstream server: nginx.conf

stream {
  server {
    listen 636 ssl;

    ssl_certificate /etc/letsencrypt/live/downstream.example.com/fullchain.pem; # managed by Certbot
    ssl_certificate_key /etc/letsencrypt/live/downstream.example.com/privkey.pem; # managed by Certbot

    proxy_ssl on;
    proxy_ssl_verify on;
    proxy_ssl_trusted_certificate /etc/ssl/certs/ca-certificates.crt;

    proxy_pass upstream.example.com:636;

    # ...

  }
}
Run Code Online (Sandbox Code Playgroud)

文档

https://nginx.org/en/docs/http/ngx_http_proxy_module.html

proxy_ssl_verify 上 | 离开;

启用或禁用代理 HTTPS 服务器证书的验证。

proxy_ssl_verify_depth 数字;

设置代理 HTTPS 服务器证书链中的验证深度。

proxy_ssl_trusted_certificate 文件;

指定具有 PE​​M 格式的可信 CA 证书的文件,用于验证代理 HTTPS 服务器的证书。

也可以看看

归档时间:

查看次数:

5128 次

最近记录:

5 年,3 月 前
相关归档
内部使用的HTTPS证书 52
Nginx PHP-FPM 停止工作,打开连接中的套接字 11
HTTPException:网址无效和/或缺少SSL证书:https://accounts.google.com/o/oauth2/token 10
SSLHandshakeException:SSL 握手中止:ssl=0xbe6af938:系统调用期间发生 I/O 错误,连接由对等方重置 7
通过MQTT用ssl连接android设备 6
使用 libcurl 固定 SSL 证书 5
如何配置我的Web服务器以使用PluggableAuthService的Domain Auth插件? 4
nginx 反向代理后面的 create-react-app 代码更改未在浏览器中重新加载 4
无法使用Laravel 5.1on远程服务器检索url GET参数 2
如何续订 iis7 自签名 ssl 证书 1
难疑归档
在CSS中设置cellpadding和cellspacing? 3210
如何测试空的JavaScript对象? 2730
如何在JavaScript中检查"undefined"? 2294
如何确定数组是否包含Java中的特定值? 2194
从C#中的枚举中获取int值 1698
如何从列表中随机选择一个项目? 1656
<button>与<input type ="button"/>.哪个用? 1588
如何在Xcode 4中"添加现有框架"? 1426
最优雅的方法来检查Python中的字符串是否为空? 1282
CSS calc()函数中的Sass变量 1182