Nginx配置正向代理和反向代理,实现HTTPS通信的案例
问题描述
问题描述
客户端直接通过HTTP访问内部服务是不安全的,如果在不改造客户端和内部服务的情况下实现HTTPS的安全信息传输?这里使用了nginx的正向代理和反向代理,如上图所示。
使用OpenSSL生成证书
openssl req -x509 -nodes -days 36500 -newkey rsa:2048 -keyout /home/data/ssl/nginx.key -out /home/data/ssl/nginx.crt
image.png
其中proxy.test.com为绑定的域名。
Nginx反向代理配置
server {
listen 443 ssl;
server_name proxy.test.com;
root /home/data/proxy;
ssl_certificate /home/data/ssl/nginx.crt;
ssl_certificate_key /home/data/ssl/nginx.key;
ssl_session_cache shared:SSL:1m;
ssl_session_timeout 5m;
#禁止在header中出现服务器版本,防止黑客利用版本漏洞攻击
server_tokens off;
#如果是全站 HTTPS 并且不考虑 HTTP 的话,可以加入 HSTS 告诉你的浏览器本网站全站加密,并且强制用 HTTPS 访问
fastcgi_param HTTPS on;
fastcgi_param HTTP_SCHEME https;
location /api/
{
rewrite ^/api/(.*) /$1 break;
proxy_pass http://192.168.10.191:8080;
}
}Nginx正向代理的配置
server {
listen 80;
server_name www.forwordproxy.com;
resolver 8.8.8.8;
location / {
proxy_pass https://$http_host$request_uri;
}
error_page 500 502 503 504 /index.html;
location = /index.html {
root /home/data/forwordproxy;
}
}使用wget进行测试
验证证书
wget --ca-certificate=/home/data/ssl/nginx.crt -e "http_proxy=http://www.forwordproxy.com" "https://proxy.test.com/interface/test"使用上面生成的nging.crt证书,通过正向代理,访问反向代理服务接口。
不验证证书
wget --no-check-certificate -e "http_proxy=http://www.forwordproxy.com" "https://proxy.test.com/interface/test"备注
- 域名都需要配置/etc/hosts
本文参与 腾讯云自媒体同步曝光计划,分享自作者个人站点/博客。
原始发表:2018.12.11 ,如有侵权请联系 cloudcommunity@tencent.com 删除
评论
登录后参与评论
推荐阅读
目录
相关产品与服务
云服务器
云服务器(Cloud Virtual Machine,CVM)提供安全可靠的弹性计算服务。 您可以实时扩展或缩减计算资源,适应变化的业务需求,并只需按实际使用的资源计费。使用 CVM 可以极大降低您的软硬件采购成本,简化 IT 运维工作。
腾讯云开发者
