美文网首页DevOpsMQ
Nginx 反向代理高级篇

Nginx 反向代理高级篇

作者: 你好_请关照 | 来源:发表于2022-09-04 20:09 被阅读0次

    1. 双向认证

    双向认证顾名思义:即客户端要验证服务端的证书是否合法,服务端也要验证客户端的证书是否合法,相对于单项的https来说,通信过程中多了一步校验对方公钥是否合法的过程。

    看图说明:


    双向认证.png

    Nginx 配置双向认证

    server{
        listen 19999 ssl ;  # 开启
        server_name test.ssl.com;
    
        ssl_certificate                 /nginx/ssl/server.crt;  # 服务端公钥信息
        ssl_certificate_key     /nginx/ssl/server.key;  #服务端私钥信息
    
        ssl_client_certificate /nginx/ssl/testServer.crt;     # 客户端公钥信息
        ssl_verify_client on ;  #开启客户端证书校验
    
        ssl_session_cache shared:SSL:1m;
        ssl_session_timeout 5m;
        ssl_ciphers HIGH:!aNULL:!MD5;
        ssl_prefer_server_ciphers on ;
    
        error_log /nginx/logs/test.ssl.com_error.log;
      access_log /nginx/logs/test.ssl.com_access.log;
    
        location / {
        ......
    }
    

    2. 自签证书、颁发证书

    什么是SSL证书,这里不赘述了,主要介绍一下再使用过程中自签证书和颁发证书的一些区别。

    • 颁发的证书

    颁发证书,是第三方机构颁发的,你也可以理解为 “官方” 颁发的,正常情况是需要购买的,当然阿里云也可以申请1年免费的;颁发的证书之所以更安全是因为存在证书链,证书链(certificate chain)可以有任意环节的长度:CA证书包括根CA证书、二级CA证书(中间证书)、三级证书.....(证书链越长,加载速度越慢,信任度越差),CA中心对该证书里面的信息的签名。我们在验证证书的有效性的时候,会逐级去寻找签发者的证书,直至根证书为结束,然后通过公钥一级一级验证数字签名的正确性。

    如图:


    image.png

    或者你可以用浏览器访问一个HTTPS的网站也可以看到签名过程:

    image.png

    自签证书

    • 自签证书是使用者自己手动生成的,如果你访问一个自签证书的HTTPS网站,虽然你能够访问的到,但是浏览器也会弹出不安全的告警。一般使用自签证书为了省事都只是生成公私钥信息,而不会根据证书链一级一级的签发,虽然也可以生成证书链。
    • 自签证书生成证书链 原内容来自:http://t.zoukankan.com/jifeng-p-2053519.html
    1.签发根CA
           openssl genrsa -des3 -out myrootca.key 1024
          openssl req -new -key myrootca.key -out myrootca.req
          openssl x509 -req -days 7305 -extfile rootca.conf -signkey myrootca.key -in myrootca.req -out myrootca.crt
    2.签发中级CA
      openssl genrsa -out subca.key 1024
        openssl req -new -key subca.key -out subca.req
            openssl x509 -req -days 3650 -sha1 -extfile subca.conf -CA myrootca.crt -CAkey myrootca.key -CAserial myrootca.srl -CAcreateserial -in subca.req -out subca.crt
    1.使用中级CA签发一个服务器证书
    
    openssl x509 -req -days 3650 -sha1 -extfile server.conf -CA subca.crt -CAkey subca.key -CAserial subca.srl -CAcreateserial -in certreq.txt -out serverbysubca.crt
    
    1.使用根CA签发一个服务器证书
    openssl x509 -req -days 3650 -sha1 -extfile server.conf -CA myrootca.crt -CAkey myrootca.key -CAserial myrootca.srl -CAcreateserial -in myhost.req -out myhost.crt
    
    rootca.conf:
    
    basicConstraints = CA:true
    keyUsage = keyCertSign, cRLSign
    
    subca.conf
    
    basicConstraints = CA:true,pathlen:0
    
    keyUsage = keyCertSign, cRLSign
    
    nsCertType = sslCA, emailCA, objCA
    
    server.conf
    
    basicConstraints = CA:false
    
    keyUsage=digitalSignature,keyEncipherment,dataEncipherment, keyAgreement
    
    nsCertType = server
    
    extendedKeyUsage = serverAuth, msSGC, nsSGC
    
    • 生成服务端公私钥信息:
     #生成私钥信息 
    openssl genrsa -out server.key 2048 
    #生成公钥信息,
    #依次会要求输入国家、省市、公司单位、域名、邮箱等信息。最关键的是域名信息Common Name,这里可以填泛域名来签发证书如。
    openssl req -new -x509 -key server.key -out server.crt -days 36500 
    

    3. 反向代理校验代理端服务端公钥信息

    这套环境的架构是:


    image.png
    • 在搭建这套环境时,因为不太了解证书验签过程,因为此配置使用自签证书和机构颁发证书时NGINX配置有所不同所以绕了不少的弯路

    3.1 Nginx配置中自签证书主要问题:

    • 使用自签证书时必须 在proxy_ssl_name参数中指定证书中的域名信息,因为自签证书无法被公网DNS所解析,所以NGINX代理时需要指定SNI信息(common name),否则在证书验签过handshaking失败。

      proxy_ssl_name :允许覆盖用于验证代理HTTPS服务器的证书的服务器名称。建立与代理HTTPS服务器的连接时,也会通过SNI传递此值。

    3.2 Nginx配置中机构颁发证书主要问题

    • 使用机构颁发的证书至少要使用中级证书做校验(浏览器访问时可以可以看到证书级别),如果不行就要换成根证书,服务器级别的公钥证书不可以。

    • NGINX 中有一个参数需要指定证书验签层级 至少要为2 才可以。proxy_ssl_verify_depth 2Nginx配置中机构颁发证书主要问题

    • 使用机构颁发的证书至少要使用中级证书做校验(浏览器访问时可以可以看到证书级别),如果不行就要换成根证书,服务器级别的公钥证书不可以。

    • NGINX 中有一个参数需要指定证书验签层级 至少要为2 才可以。proxy_ssl_verify_depth 2

    3.3 如何拿到机构颁发的中级以上证书?

    方法一:

    使用浏览器访问,点击一个🔐标识—>连接是安全的—>证书有效,可以看到证书,至少选择中间的中级证书存放到本地。
    
    注意这时你下载下来的是一个cer格式的证书,需要转换为PEM格式证书。
    
    **证书格式转换:**
    
    将DER文件(.crt .cer .der)转换为PEM
    openssl x509 -inform der -in certificate.cer -out certificate.pem
    

    方法二:

    访问此网站(https://curl.se/docs/caextract.html)选择最新日期的证书进行下载,这里是从 Mozilla CA 证书存储同步到的PEM 格式的证书库(注意这里存放的都是根证书)。

    方法三:

    openssl s_client -connect IP:端口 </dev/null | sed -ne '/-BEGIN CERTIFICATE-/,/-END CERTIFICATE-/p' >./server.crt
    

    3.4 如何获取自签证书的客户端公钥信息(非自签证书链):

    openssl s_client -connect IP:端口 </dev/null | sed -ne '/-BEGIN CERTIFICATE-/,/-END CERTIFICATE-/p' >./server.crt
    

    3.5 使用机构颁发证书的配置:

    upstream proxy{
            #替换为实际ip地址和端口,如果有多个则配置多个server
                    server IP:port;
                   }
    server {
        listen 19997;
        server_name www.test.com;
    
        # 使用机构颁发的证书至少要使用中级证书做校验(浏览器访问时可以可以看到证书级别),服务器级别的公钥证书不可以,亲试。
    
        proxy_ssl_trusted_certificate /nginx/ssl/mid.pem ;  #代理的服务器的中间证书 
      proxy_ssl_verify on;               #开启代理时校验后端服务器公钥证书
        
        proxy_ssl_server_name on;        #代理HTTPS服务器建立连接时,是否传递SNI信息。
      proxy_ssl_verify_depth 2;      #当配置机构颁发证书时需要配置添加此配置,否则因层级原因找不到证书,至少值要为2;
      
        error_log /nginx/logs/www.test.com_error.log;
      access_log /nginx/logs/www.test.com_access.log;
    
        location /xiaoxi{
        proxy_pass https://proxy/uri;
    
            }
    
    }
    
    • 验证 :通过抓包信息可以看到,只开启 proxy_ssl_server_name on;不通过proxy_ssl_name 指定common name 发现已经被解析了:
    抓包验证.png

    3.6 使用自签证书配置的配置

    upstream proxy{
            #替换为实际ip地址和端口,如果有多个则配置多个server
                    server IP:port;
                   }
    server {
            listen 19996;
            server_name www.self.com;
    
            proxy_ssl_trusted_certificate   /nginx/ssl/server.crt; #服务端公钥证书
            proxy_ssl_name test.ssl.com;    #手动代理地址的服务器域名(也就是nginx要访问的域名;传递SNI信息)
            proxy_ssl_verify on;
      
            error_log /nginx/logs/https_self.conf_error.log;
            access_log /nginx/logs/https_self.conf_access.log;
    
            #双向认证
            proxy_ssl_certificate /nginx/ssl/testServer.crt;
            proxy_ssl_certificate_key  /nginx/ssl/testServer.key;
    
            location /self{
            proxy_pass https://proxy/uri;
    
            }
    
    }
    

    4. 使用tcpdump 抓包分析验证

    tcpdump   tcp -i eth1  -n -X -s 0   and  host “访问地址”  -w h2c.pcap #将抓包内容放在Wireshark进行展示
    

    相关文章

      网友评论

        本文标题:Nginx 反向代理高级篇

        本文链接:https://www.haomeiwen.com/subject/mtlurrtx.html