Nginx proxy_pass到https后端
使用SSL/TLS加密,确保NGINX或NGINX Plus与上游服务器之间的HTTP流量安全。
本文解释了如何加密NGINX和上游组或代理服务器之间的HTTP流量。
生成证书(自签名证书需要)
生成自签名CA证书。
openssl genrsa -out ca.key 2048 openssl req -new -key ca.key -out ca.csr openssl x509 -req -sha256 -days 365 -in ca.csr -signkey ca.key -out ca.crt
生成客户端证书和密钥。
openssl genrsa -out client.key 2048 openssl req -new -key client.key -out client.csr openssl x509 -req -sha256 -days 365 -in client.csr -CA ca.crt -CAkey ca.key -set_serial 01 -out client.crt
生成服务器证书和密钥。
openssl genrsa -out server.key 2048 openssl req -new -key server.key -out server.csr openssl x509 -req -sha256 -days 365 -in server.csr -CA ca.crt -CAkey ca.key -set_serial 01 -out server.crt
配置NGINX
http { #... upstream backend.example.com { server backend1.example.com:443; server backend2.example.com:443; } server { listen 80; server_name www.example.com; #... location /upstream { proxy_pass https://backend.example.com; # 连接上游服务器时,供上游服务器验证的证书 proxy_ssl_certificate /etc/nginx/client.pem; proxy_ssl_certificate_key /etc/nginx/client.key; proxy_ssl_protocols TLSv1 TLSv1.1 TLSv1.2; proxy_ssl_ciphers HIGH:!aNULL:!MD5; # // 验证上游服务器时,使用的ca证书 proxy_ssl_trusted_certificate /etc/nginx/trusted_ca_cert.crt; proxy_ssl_verify on; proxy_ssl_verify_depth 2; # 每次连接都需要完整的ssl握手,消耗cpu较大,加上此参数,可以复用连接,减少握手次数 proxy_ssl_session_reuse on; proxy_ssl_server_name on; # 次参数不是太懂 proxy_ssl_name backend.example.com; } } server { listen 443 ssl; server_name backend1.example.com; ssl_certificate /etc/ssl/certs/server.crt; ssl_certificate_key /etc/ssl/certs/server.key; # 验证客户端使用的CA证书 ssl_client_certificate /etc/ssl/certs/ca.crt; # 开启验证客户端 ssl_verify_client on; location /yourapp { proxy_pass http://url_to_app.com; #... } server { listen 443 ssl; server_name backend2.example.com; ssl_certificate /etc/ssl/certs/server.crt; ssl_certificate_key /etc/ssl/certs/server.key; ssl_client_certificate /etc/ssl/certs/ca.crt; ssl_verify_client on; location /yourapp { proxy_pass http://url_to_app.com; #... } } }
官网链接
Nginx proxy_pass后出现部分请求404
有一个后端服务,地址是 http://127.0.0.1:8888/web-test/
nginx 配置如下:
location ^~ /web-test/ { proxy_pass http://127.0.0.1:8888; }
访问 http://ip:port/web-test/
是正常的
但我想改写成访问 http://ip:port/test/
替代访问 http://ip:port/web-test/
nginx 配置如下:
location ^~ /test/ { proxy_pass http://127.0.0.1:8888/web-test/; }
重写后访问 http://ip:port/test/
后出现问题,看到请求下面的 静态资源URL 都返回 404,也就是说页面的静态资源发起的请求还是访问了原来的 /web-test 路由
http://127.0.0.1:8888/web-test/resource/... http://127.0.0.1:8888/web-test/image/... http://127.0.0.1:8888/web-test/system/... http://127.0.0.1:8888/web-test/其他 URI/...
这种情况 nginx 要怎样配置重写规则?访问 http://ip:port/test/
能返回正常的请求
解决办法
1、
location ^~ /test/ { proxy_pass http://127.0.0.1:8888/web-test/; }
其他 静态资源URI 请求也 proxy_pass 到后端服务
location /web-test/resource/ { proxy_pass http://127.0.0.1:8888; } location /web-test/image/ { proxy_pass http://127.0.0.1:8888; }
location /其他静态资源URI请求 { proxy_pass http://127.0.0.1:8888; }
这种方式要找到所有的 静态资源URL 请求,一个个重写
2、直接修改后端服务路由为 http://127.0.0.1:8888/test/,规则变为
location ^~ /test/ { proxy_pass http://127.0.0.1:8888; }
就可以了
总结
以上为个人经验,希望能给大家一个参考,也希望大家多多支持IT俱乐部。