Início / server / Perguntas / 728611
Accepted
k0pernikus
Asked: 2015-10-14 05:12:06 +0800 CST

Como configurar o proxy reverso SSL usando nginx?

  • 772

Relacionado à minha pergunta sobre como configurar um proxy reverso usando nginx , agora estou preso ao configurar um que requer adicionalmente uma conexão SSL.

Eu tenho um contêiner docker que fornece a porta SSL mapeada 4430 para meu sistema host. O servidor da Web está usando um certificado autoassinado.

No meu /etc/hostsarquivo, eu defini:

127.0.0.1 app.local

E minha configuração do servidor nginx se parece com:

server {
    listen 80;
    server_name app.local;
    location / {
        return https://$host$request_uri;
    }
}

server {
    listen 443;
    server_name app.local;
    location / {
        proxy_pass https://127.0.0.1:4430;
    }
}

Quando eu acesso meu webapp usando https://127.0.0.1::4430ele funciona bem. No entanto, recebo um aviso sobre o certificado na primeira vez, o que devo permitir.

No entanto, ao conectar-se a ele por meio de http://app.localou https://app.local, meu navegador mostra:

SSL connection error
ERR_SSL_PROTOCOL_ERROR

Eu também esperava que o aviso de certificado aparecesse, o que eu poderia permitir.

Como fazer o proxy reverso funcionar ao usar SSL com nginx?

nginx

2 respostas

  1. Best Answer

    Para encerrar o SSL no nginx:

    a) A seção do servidor precisa especificar a porta e 'ssl'

    listen 192.168.2.26:443 ssl;

    b) O bloco do servidor também especifica os parâmetros certs e ssl

    ssl_certificate      new-cert.cer;
ssl_certificate_key  new-cert.key;

ssl_protocols SSLv3 TLSv1;
ssl_ciphers HIGH:!aNULL:!MD5;
    • 3

  2. Você está perto, eu acho (sou novo no Nginx), mas seu segundo bloco de servidor precisa de um pouco mais ... Eu tenho um no meu servidor com isso:

    listen 443 ssl;
listen [::]:443 ipv6only=on ssl;
charset utf-8;
client_max_body_size 75M;
server_name example.com www.example.com;
ssl_certificate /etc/ssl/certs/example.com.crt;
ssl_certificate_key /etc/ssl/private/example.com.key;

    Observe o seguinte:

    1. A diretiva listen especifica ssl.
    2. O certificado e a chave do certificado são especificados. O certificado deve estar em um local de fácil acesso, pois é enviado a todos que acessam seu site. A chave está em um local onde apenas os usuários que precisam dela podem acessá-la.

    O ipv6, o charset e o corpo máximo do cliente são linhas que tenho no meu servidor, mas não são necessárias para o que você está fazendo aqui. Você pode nomear qualquer coisa e colocá-los em qualquer lugar, então não fique preso ao nome do arquivo ou local exato se você armazenar o seu em outro lugar. É assim que eu gosto de fazer, e minha ls -lsaída é:

    -rw-r--r-- 1 root root 1887 Oct  8 14:16 /etc/ssl/certs/example.com.crt
-rw-r----- 1 root ssl-cert 1704 Oct  8 13:47 /etc/ssl/private/example.com.key
    • 2

relate perguntas