主页 / server / 问题 / 1039737
Accepted
Stonecraft
Asked: 2020-10-23 08:20:13 +0800 CST

如何在 nginx 和应用程序之间的后端正确配置 SSL?

  • 772

我正在尝试在后端配置重新加密,以便 nginx 和上游应用程序之间的流量与用户和 nginx 之间的流量分开加密。出于测试示例的目的,我使用的是:https ://github.com/jlengstorf/tutorial-deploy-nodejs-ssl-digitalocean-app.git. 我已经阅读了很多线程,但我总是得到错误 502:错误网关。另外,我不确定它是多么偏执,甚至为此烦恼。一切都在一个主机上,但我将运行多个服务,我的理由是它们中的任何一个都可能存在漏洞,并且每个应用程序都可以通过不同的证书与 nginx 通信来减轻这种风险。为使示例简单,我只对 Everything 使用了一个键。显然,如果我真的这样做,我将为每个重新加密实例制作一个新证书。我是网络托管和考虑安全性的新手,所以如果我在上面说了任何令人毛骨悚然的话,请告诉我。

mydomain.conf

# HTTP — redirect all traffic to HTTPS
server {
    listen 443 ssl;
    server_name 127.0.0.1:5000;
    ssl_certificate /etc/letsencrypt/live/mydomain.com/fullchain.pem;
    ssl_certificate_key /etc/letsencrypt/live/mydomain.com/privkey.pem;
    root /var/www/html;
    index test_index.html;
    return 301 https://$host$request_uri;
}


# HTTPS — proxy all requests to the Node app
server {
    listen 443 ssl;
    listen [::]:443 ssl;
    server_name mydomain.com;
    root /var/www/html;
    index test_index.html;
    # Use the Let’s Encrypt certificates
    ssl_certificate /etc/letsencrypt/live/mydomain.com/fullchain.pem;
    ssl_certificate_key /etc/letsencrypt/live/mydomain.com/privkey.pem;
    # Include the SSL configuration from cipherli.st
    include snippets/ssl-params.conf;
    location /app {
        proxy_set_header X-Real-IP $remote_addr;
        proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
        proxy_set_header X-NginX-Proxy true;
        proxy_pass https://localhost:5000/;
        proxy_ssl_verify on;
        proxy_ssl_trusted_certificate /etc/letsencrypt/live/mydomain.com/fullchain.pem;
        proxy_ssl_certificate_key /etc/letsencrypt/live/mydomain.com/privkey.pem;
        proxy_ssl_session_reuse off;
        proxy_set_header Host $http_host;
        proxy_cache_bypass $http_upgrade;
        proxy_redirect off;
    }
}

/var/nginx/error.log 中的相应错误:

2020/10/22 16:17:13 [error] 11311#11311: *1 SSL_do_handshake() failed
(SSL: error:1408F10B:SSL routines:ssl3_get_record:wrong version number
) while SSL handshaking to upstream, client: xx.xxx.xx.xx, server: the
3guys.com, request: "GET /app HTTP/1.1", upstream: "https://127.0.0.1:
5000/", host: "mydomain.com"

在 nginx 站点 conf 中包含的 ssl-params.conf 片段中,我设置为使用我知道的所有 TLS 版本:

ssl_protocols TLSv1 TLSv1.1 TLSv1.2 TLSv1.3;
ssl nginx reverse-proxy backend

1 个回答

  1. Best Answer

    一般来说,加密在同一主机上运行的服务之间的流量绝对没有安全优势。

    (本地主机流量只能被对服务器具有完全访问权限的攻击者拦截。当他们可以这样做时,他们已经可以直接(从文件系统)访问存储在您服务器上的所有数据,并且不需要打扰拦截流量.)

    您的错误消息似乎表明您尝试通过从

        proxy_pass http://localhost:5000/;


        proxy_pass https://localhost:5000/;

    没有实际将后端转换为实际运行 https。

    通常,您也不能在同一端口上同时运行 http 和 https 服务。

    要通过 https 连接到您的 Node.js 应用程序,您首先需要配置它实际加载证书并开始支持 https。

    然后proxy_ssl_verify on可能不是一个好主意,proxy_pass https://localhost因为您无法获得localhost域名的公共 TLS 证书。

    • 2

相关问题