Nginx 反向代理高级篇

1. 双向认证

双向认证顾名思义:即客户端要验证服务端的证书是否合法,服务端也要验证客户端的证书是否合法,相对于单项的https来说,通信过程中多了一步校验对方公钥是否合法的过程。

看图说明:


双向认证.png

Nginx 配置双向认证

server{
    listen 19999 ssl ;  # 开启
    server_name test.ssl.com;

    ssl_certificate                 /nginx/ssl/server.crt;  # 服务端公钥信息
    ssl_certificate_key     /nginx/ssl/server.key;  #服务端私钥信息

    ssl_client_certificate /nginx/ssl/testServer.crt;     # 客户端公钥信息
    ssl_verify_client on ;  #开启客户端证书校验

    ssl_session_cache shared:SSL:1m;
    ssl_session_timeout 5m;
    ssl_ciphers HIGH:!aNULL:!MD5;
    ssl_prefer_server_ciphers on ;

    error_log /nginx/logs/test.ssl.com_error.log;
  access_log /nginx/logs/test.ssl.com_access.log;

    location / {
    ......
}

2. 自签证书、颁发证书

什么是SSL证书,这里不赘述了,主要介绍一下再使用过程中自签证书和颁发证书的一些区别。

  • 颁发的证书

颁发证书,是第三方机构颁发的,你也可以理解为 “官方” 颁发的,正常情况是需要购买的,当然阿里云也可以申请1年免费的;颁发的证书之所以更安全是因为存在证书链,证书链(certificate chain)可以有任意环节的长度:CA证书包括根CA证书、二级CA证书(中间证书)、三级证书.....(证书链越长,加载速度越慢,信任度越差),CA中心对该证书里面的信息的签名。我们在验证证书的有效性的时候,会逐级去寻找签发者的证书,直至根证书为结束,然后通过公钥一级一级验证数字签名的正确性。

如图:


image.png

或者你可以用浏览器访问一个HTTPS的网站也可以看到签名过程:

image.png

自签证书

  • 自签证书是使用者自己手动生成的,如果你访问一个自签证书的HTTPS网站,虽然你能够访问的到,但是浏览器也会弹出不安全的告警。一般使用自签证书为了省事都只是生成公私钥信息,而不会根据证书链一级一级的签发,虽然也可以生成证书链。
  • 自签证书生成证书链 原内容来自:http://t.zoukankan.com/jifeng-p-2053519.html
1.签发根CA
       openssl genrsa -des3 -out myrootca.key 1024
      openssl req -new -key myrootca.key -out myrootca.req
      openssl x509 -req -days 7305 -extfile rootca.conf -signkey myrootca.key -in myrootca.req -out myrootca.crt
2.签发中级CA
  openssl genrsa -out subca.key 1024
    openssl req -new -key subca.key -out subca.req
        openssl x509 -req -days 3650 -sha1 -extfile subca.conf -CA myrootca.crt -CAkey myrootca.key -CAserial myrootca.srl -CAcreateserial -in subca.req -out subca.crt
1.使用中级CA签发一个服务器证书

openssl x509 -req -days 3650 -sha1 -extfile server.conf -CA subca.crt -CAkey subca.key -CAserial subca.srl -CAcreateserial -in certreq.txt -out serverbysubca.crt

1.使用根CA签发一个服务器证书
openssl x509 -req -days 3650 -sha1 -extfile server.conf -CA myrootca.crt -CAkey myrootca.key -CAserial myrootca.srl -CAcreateserial -in myhost.req -out myhost.crt

rootca.conf:

basicConstraints = CA:true
keyUsage = keyCertSign, cRLSign

subca.conf

basicConstraints = CA:true,pathlen:0

keyUsage = keyCertSign, cRLSign

nsCertType = sslCA, emailCA, objCA

server.conf

basicConstraints = CA:false

keyUsage=digitalSignature,keyEncipherment,dataEncipherment, keyAgreement

nsCertType = server

extendedKeyUsage = serverAuth, msSGC, nsSGC
  • 生成服务端公私钥信息:
 #生成私钥信息 
openssl genrsa -out server.key 2048 
#生成公钥信息,
#依次会要求输入国家、省市、公司单位、域名、邮箱等信息。最关键的是域名信息Common Name,这里可以填泛域名来签发证书如。
openssl req -new -x509 -key server.key -out server.crt -days 36500 

3. 反向代理校验代理端服务端公钥信息

这套环境的架构是:


image.png
  • 在搭建这套环境时,因为不太了解证书验签过程,因为此配置使用自签证书和机构颁发证书时NGINX配置有所不同所以绕了不少的弯路

3.1 Nginx配置中自签证书主要问题:

  • 使用自签证书时必须 在proxy_ssl_name参数中指定证书中的域名信息,因为自签证书无法被公网DNS所解析,所以NGINX代理时需要指定SNI信息(common name),否则在证书验签过handshaking失败。

    proxy_ssl_name :允许覆盖用于验证代理HTTPS服务器的证书的服务器名称。建立与代理HTTPS服务器的连接时,也会通过SNI传递此值。

3.2 Nginx配置中机构颁发证书主要问题

  • 使用机构颁发的证书至少要使用中级证书做校验(浏览器访问时可以可以看到证书级别),如果不行就要换成根证书,服务器级别的公钥证书不可以。

  • NGINX 中有一个参数需要指定证书验签层级 至少要为2 才可以。proxy_ssl_verify_depth 2Nginx配置中机构颁发证书主要问题

  • 使用机构颁发的证书至少要使用中级证书做校验(浏览器访问时可以可以看到证书级别),如果不行就要换成根证书,服务器级别的公钥证书不可以。

  • NGINX 中有一个参数需要指定证书验签层级 至少要为2 才可以。proxy_ssl_verify_depth 2

  • 这里要感谢这篇文章的帮助:https://blog.dianduidian.com/post/nginx%E5%8F%8D%E5%90%91%E4%BB%A3%E7%90%86%E5%BD%93%E5%90%8E%E7%AB%AF%E4%B8%BAhttps%E6%97%B6%E7%9A%84%E4%B8%80%E4%BA%9B%E7%BB%86%E8%8A%82%E5%92%8C%E5%8E%9F%E7%90%86/

3.3 如何拿到机构颁发的中级以上证书?

方法一:

使用浏览器访问,点击一个标识—>连接是安全的—>证书有效,可以看到证书,至少选择中间的中级证书存放到本地。

注意这时你下载下来的是一个cer格式的证书,需要转换为PEM格式证书。

证书格式转换:

将DER文件(.crt .cer .der)转换为PEM
openssl x509 -inform der -in certificate.cer -out certificate.pem

方法二:

访问此网站(https://curl.se/docs/caextract.html)选择最新日期的证书进行下载,这里是从 Mozilla CA 证书存储同步到的PEM 格式的证书库(注意这里存放的都是根证书)。

方法三:

  openssl s_client -showcerts -servername 访问域名 -connect 域名:端口 nginx/clientcrt/xxx.crt

3.4 如何获取自签证书的客户端公钥信息(非自签证书链):

openssl s_client -connect IP:端口 ./server.crt

3.5 使用机构颁发证书的配置:

upstream proxy{
        #替换为实际ip地址和端口,如果有多个则配置多个server
                server IP:port;
               }
server {
    listen 19997;
    server_name www.test.com;

    # 使用机构颁发的证书至少要使用中级证书做校验(浏览器访问时可以可以看到证书级别),服务器级别的公钥证书不可以,亲试。

    proxy_ssl_trusted_certificate /nginx/ssl/mid.pem ;  #代理的服务器的中间证书 
  proxy_ssl_verify on;               #开启代理时校验后端服务器公钥证书
    
    proxy_ssl_server_name on;        #代理HTTPS服务器建立连接时,是否传递SNI信息。
  proxy_ssl_verify_depth 2;      #当配置机构颁发证书时需要配置添加此配置,否则因层级原因找不到证书,至少值要为2;
  
    error_log /nginx/logs/www.test.com_error.log;
  access_log /nginx/logs/www.test.com_access.log;

    location /xiaoxi{
    proxy_pass https://proxy/uri;

        }

}
  • 验证 :通过抓包信息可以看到,只开启 proxy_ssl_server_name on;不通过proxy_ssl_name 指定common name 发现已经被解析了:
抓包验证.png

3.6 使用自签证书配置的配置

upstream proxy{
        #替换为实际ip地址和端口,如果有多个则配置多个server
                server IP:port;
               }
server {
        listen 19996;
        server_name www.self.com;

        proxy_ssl_trusted_certificate   /nginx/ssl/server.crt; #服务端公钥证书
        proxy_ssl_name test.ssl.com;    #手动代理地址的服务器域名(也就是nginx要访问的域名;传递SNI信息)
        proxy_ssl_verify on;
  
        error_log /nginx/logs/https_self.conf_error.log;
        access_log /nginx/logs/https_self.conf_access.log;

        #双向认证
        proxy_ssl_certificate /nginx/ssl/testServer.crt;
        proxy_ssl_certificate_key  /nginx/ssl/testServer.key;

        location /self{
        proxy_pass https://proxy/uri;

        }

}

4. 使用tcpdump 抓包分析验证

tcpdump   tcp -i eth1  -n -X -s 0   and  host “访问地址”  -w h2c.pcap #将抓包内容放在Wireshark进行展示

你可能感兴趣的:(Nginx 反向代理高级篇)