Nginx proxy_pass如何到https后端

夷希微致中 · 发表于 2024-5-26 03:29:51

Nginx proxy_pass到https后端

使用SSL/TLS加密，确保NGINX或NGINX Plus与上游服务器之间的HTTP流量安全。
本文解释了如何加密NGINX和上游组或代理服务器之间的HTTP流量。

生成证书（自签名证书需要）

生成自签名CA证书。

openssl genrsa -out ca.key 2048
openssl req -new -key ca.key -out ca.csr
openssl x509 -req -sha256 -days 365 -in ca.csr -signkey ca.key -out ca.crt

复制代码

生成客户端证书和密钥。

openssl genrsa -out client.key 2048
openssl req -new -key client.key -out client.csr
openssl x509 -req -sha256 -days 365 -in client.csr -CA ca.crt -CAkey ca.key -set_serial 01 -out client.crt

复制代码

生成服务器证书和密钥。

openssl genrsa -out server.key 2048
openssl req -new -key server.key -out server.csr
openssl x509 -req -sha256 -days 365 -in server.csr -CA ca.crt -CAkey ca.key -set_serial 01 -out server.crt

复制代码

配置NGINX

http {
#...
upstream backend.example.com {
server backend1.example.com:443;
server backend2.example.com:443;
}
server {
listen 80;
server_name www.example.com;
#...
location /upstream {
proxy_pass https://backend.example.com;
# 连接上游服务器时，供上游服务器验证的证书
proxy_ssl_certificate /etc/nginx/client.pem;
proxy_ssl_certificate_key /etc/nginx/client.key;
proxy_ssl_protocols TLSv1 TLSv1.1 TLSv1.2;
proxy_ssl_ciphers HIGH:!aNULL:!MD5;
# // 验证上游服务器时，使用的ca证书
proxy_ssl_trusted_certificate /etc/nginx/trusted_ca_cert.crt;
proxy_ssl_verify on;
proxy_ssl_verify_depth 2;
# 每次连接都需要完整的ssl握手，消耗cpu较大，加上此参数，可以复用连接，减少握手次数
proxy_ssl_session_reuse on;
proxy_ssl_server_name on;
# 次参数不是太懂
proxy_ssl_name backend.example.com;
}
}
server {
listen 443 ssl;
server_name backend1.example.com;
ssl_certificate /etc/ssl/certs/server.crt;
ssl_certificate_key /etc/ssl/certs/server.key;
# 验证客户端使用的CA证书
ssl_client_certificate /etc/ssl/certs/ca.crt;
# 开启验证客户端
ssl_verify_client on;
location /yourapp {
proxy_pass http://url_to_app.com;
#...
}
server {
listen 443 ssl;
server_name backend2.example.com;
ssl_certificate /etc/ssl/certs/server.crt;
ssl_certificate_key /etc/ssl/certs/server.key;
ssl_client_certificate /etc/ssl/certs/ca.crt;
ssl_verify_client on;
location /yourapp {
proxy_pass http://url_to_app.com;
#...
}
}
}

复制代码

官网链接
官网文档

Nginx proxy_pass后出现部分请求404

有一个后端服务，地址是

http://127.0.0.1:8888/web-test/

复制代码

nginx 配置如下：

location ^~ /web-test/ {
proxy_pass http://127.0.0.1:8888;
}

复制代码

访问

http://ip:port/web-test/

复制代码

是正常的
但我想改写成访问

http://ip:port/test/

复制代码

替代访问

http://ip:port/web-test/

复制代码

nginx 配置如下：

location ^~ /test/ {
proxy_pass http://127.0.0.1:8888/web-test/;
}

复制代码

重写后访问

http://ip:port/test/

复制代码

后出现问题，看到请求下面的静态资源URL 都返回 404，也就是说页面的静态资源发起的请求还是访问了原来的 /web-test 路由

http://127.0.0.1:8888/web-test/resource/...
http://127.0.0.1:8888/web-test/image/...
http://127.0.0.1:8888/web-test/system/...
http://127.0.0.1:8888/web-test/其他 URI/...

复制代码

这种情况 nginx 要怎样配置重写规则？访问

http://ip:port/test/

复制代码

能返回正常的请求

解决办法

1、

location ^~ /test/ {
proxy_pass http://127.0.0.1:8888/web-test/;
}

复制代码

其他静态资源URI 请求也 proxy_pass 到后端服务

location /web-test/resource/ {
proxy_pass http://127.0.0.1:8888;
}
location /web-test/image/ {
proxy_pass http://127.0.0.1:8888;
}

复制代码

location /其他静态资源URI请求 {
proxy_pass http://127.0.0.1:8888;
}

复制代码

这种方式要找到所有的静态资源URL 请求，一个个重写
2、直接修改后端服务路由为 http://127.0.0.1:8888/test/，规则变为

location ^~ /test/ {
proxy_pass http://127.0.0.1:8888;
}

复制代码

就可以了

总结

以上为个人经验，希望能给大家一个参考，也希望大家多多支持脚本之家。

来源:https://www.jb51.net/server/321103wcu.htm
免责声明：由于采集信息均来自互联网，如果侵犯了您的权益，请联系我们【E-Mail:cb@itdo.tech】我们会及时删除侵权内容，谢谢合作！