我们使用 Nginx 作为 Web 应用服务器的反向代理。Nginx 处理我们的 SSL 等,但除此之外只是充当反向代理。
我们希望为请求提供有效的客户端证书,/jsonrpc但在其他任何地方都不需要它们。我们发现的最好方法是
server {
listen *:443 ssl;
ssl on;
ssl_certificate /etc/nginx/server.crt;
ssl_certificate_key /etc/nginx/server.key;
ssl_client_certificate /etc/nginx/client-ca.crt;
ssl_verify_client optional;
location /jsonrpc {
if ($ssl_client_verify != "SUCCESS") { return 403; }
proxy_pass http://localhost:8282/jsonrpc-api;
proxy_read_timeout 90;
proxy_redirect http://localhost/ $scheme://$host:$server_port/;
}
}
这适用于大多数浏览器,但某些浏览器(例如 Safari 和 Chrome-on-Android)最终会提示用户提供客户端证书,无论他们在网站上的哪个位置访问。
我们如何让 Nginx 接受但并不真正关心除我们/jsonrpc所在位置之外的任何地方的客户端证书?
为什么不尝试第二个服务器块呢?代码重复是不好的,但有时是不可避免的。我假设 /jsonrpc 代表一个 API,因此如果尚未使用它,它可以使用它自己的子域:
在寻找其他东西时偶然发现了这个问题。
也许我误解了这个问题:
但不应该跟随工作。
这有两个位置设置,但只有一个服务器设置。