Nginx 反向代理高级篇

1. 双向认证

双向认证顾名思义：即客户端要验证服务端的证书是否合法，服务端也要验证客户端的证书是否合法，相对于单项的https来说，通信过程中多了一步校验对方公钥是否合法的过程。

看图说明：

双向认证.png

Nginx 配置双向认证

server{
    listen 19999 ssl ;  # 开启
    server_name test.ssl.com;

    ssl_certificate                 /nginx/ssl/server.crt;  # 服务端公钥信息
    ssl_certificate_key     /nginx/ssl/server.key;  #服务端私钥信息

    ssl_client_certificate /nginx/ssl/testServer.crt;     # 客户端公钥信息
    ssl_verify_client on ;  #开启客户端证书校验

    ssl_session_cache shared:SSL:1m;
    ssl_session_timeout 5m;
    ssl_ciphers HIGH:!aNULL:!MD5;
    ssl_prefer_server_ciphers on ;

    error_log /nginx/logs/test.ssl.com_error.log;
  access_log /nginx/logs/test.ssl.com_access.log;

    location / {
    ......
}

2. 自签证书、颁发证书

什么是SSL证书，这里不赘述了，主要介绍一下再使用过程中自签证书和颁发证书的一些区别。

• 颁发的证书

颁发证书，是第三方机构颁发的，你也可以理解为 “官方” 颁发的，正常情况是需要购买的，当然阿里云也可以申请1年免费的；颁发的证书之所以更安全是因为存在证书链，证书链(certificate chain)可以有任意环节的长度：CA证书包括根CA证书、二级CA证书（中间证书）、三级证书.....（证书链越长，加载速度越慢，信任度越差），CA中心对该证书里面的信息的签名。我们在验证证书的有效性的时候，会逐级去寻找签发者的证书，直至根证书为结束，然后通过公钥一级一级验证数字签名的正确性。

如图：

image.png

或者你可以用浏览器访问一个HTTPS的网站也可以看到签名过程：

image.png

自签证书

• 自签证书是使用者自己手动生成的，如果你访问一个自签证书的HTTPS网站，虽然你能够访问的到，但是浏览器也会弹出不安全的告警。一般使用自签证书为了省事都只是生成公私钥信息，而不会根据证书链一级一级的签发，虽然也可以生成证书链。
• 自签证书生成证书链 原内容来自：http://t.zoukankan.com/jifeng-p-2053519.html

1.签发根CA
       openssl genrsa -des3 -out myrootca.key 1024
      openssl req -new -key myrootca.key -out myrootca.req
      openssl x509 -req -days 7305 -extfile rootca.conf -signkey myrootca.key -in myrootca.req -out myrootca.crt
2.签发中级CA
  openssl genrsa -out subca.key 1024
    openssl req -new -key subca.key -out subca.req
        openssl x509 -req -days 3650 -sha1 -extfile subca.conf -CA myrootca.crt -CAkey myrootca.key -CAserial myrootca.srl -CAcreateserial -in subca.req -out subca.crt
1.使用中级CA签发一个服务器证书

openssl x509 -req -days 3650 -sha1 -extfile server.conf -CA subca.crt -CAkey subca.key -CAserial subca.srl -CAcreateserial -in certreq.txt -out serverbysubca.crt

1.使用根CA签发一个服务器证书
openssl x509 -req -days 3650 -sha1 -extfile server.conf -CA myrootca.crt -CAkey myrootca.key -CAserial myrootca.srl -CAcreateserial -in myhost.req -out myhost.crt

rootca.conf：

basicConstraints = CA:true
keyUsage = keyCertSign, cRLSign

subca.conf

basicConstraints = CA:true,pathlen:0

keyUsage = keyCertSign, cRLSign

nsCertType = sslCA, emailCA, objCA

server.conf

basicConstraints = CA:false

keyUsage=digitalSignature,keyEncipherment,dataEncipherment, keyAgreement

nsCertType = server

extendedKeyUsage = serverAuth, msSGC, nsSGC

• 生成服务端公私钥信息：

 #生成私钥信息 
openssl genrsa -out server.key 2048 
#生成公钥信息，
#依次会要求输入国家、省市、公司单位、域名、邮箱等信息。最关键的是域名信息Common Name，这里可以填泛域名来签发证书如。
openssl req -new -x509 -key server.key -out server.crt -days 36500 

3. 反向代理校验代理端服务端公钥信息

这套环境的架构是：

image.png

• 在搭建这套环境时，因为不太了解证书验签过程，因为此配置使用自签证书和机构颁发证书时NGINX配置有所不同所以绕了不少的弯路

3.1 Nginx配置中自签证书主要问题：

• 使用自签证书时必须 在proxy_ssl_name参数中指定证书中的域名信息，因为自签证书无法被公网DNS所解析，所以NGINX代理时需要指定SNI信息（common name),否则在证书验签过handshaking失败。

  proxy_ssl_name ：允许覆盖用于验证代理HTTPS服务器的证书的服务器名称。建立与代理HTTPS服务器的连接时，也会通过SNI传递此值。

3.2 Nginx配置中机构颁发证书主要问题

• 使用机构颁发的证书至少要使用中级证书做校验(浏览器访问时可以可以看到证书级别),如果不行就要换成根证书，服务器级别的公钥证书不可以。

• NGINX 中有一个参数需要指定证书验签层级 至少要为2 才可以。proxy_ssl_verify_depth 2Nginx配置中机构颁发证书主要问题

• 使用机构颁发的证书至少要使用中级证书做校验(浏览器访问时可以可以看到证书级别),如果不行就要换成根证书，服务器级别的公钥证书不可以。

• NGINX 中有一个参数需要指定证书验签层级 至少要为2 才可以。proxy_ssl_verify_depth 2

• 这里要感谢这篇文章的帮助：https://blog.dianduidian.com/post/nginx%E5%8F%8D%E5%90%91%E4%BB%A3%E7%90%86%E5%BD%93%E5%90%8E%E7%AB%AF%E4%B8%BAhttps%E6%97%B6%E7%9A%84%E4%B8%80%E4%BA%9B%E7%BB%86%E8%8A%82%E5%92%8C%E5%8E%9F%E7%90%86/

3.3 如何拿到机构颁发的中级以上证书？

方法一：

使用浏览器访问，点击一个标识—>连接是安全的—>证书有效，可以看到证书，至少选择中间的中级证书存放到本地。

注意这时你下载下来的是一个cer格式的证书，需要转换为PEM格式证书。

证书格式转换：

将DER文件（.crt .cer .der）转换为PEM
openssl x509 -inform der -in certificate.cer -out certificate.pem

方法二：

访问此网站（https://curl.se/docs/caextract.html）选择最新日期的证书进行下载，这里是从 Mozilla CA 证书存储同步到的PEM 格式的证书库（注意这里存放的都是根证书）。

方法三：

  openssl s_client -showcerts -servername 访问域名 -connect 域名:端口 nginx/clientcrt/xxx.crt

3.4 如何获取自签证书的客户端公钥信息(非自签证书链)：

openssl s_client -connect IP:端口 ./server.crt

3.5 使用机构颁发证书的配置：

upstream proxy{
        #替换为实际ip地址和端口,如果有多个则配置多个server
                server IP:port;
               }
server {
    listen 19997;
    server_name www.test.com;

    # 使用机构颁发的证书至少要使用中级证书做校验(浏览器访问时可以可以看到证书级别)，服务器级别的公钥证书不可以，亲试。

    proxy_ssl_trusted_certificate /nginx/ssl/mid.pem ;  #代理的服务器的中间证书 
  proxy_ssl_verify on;               #开启代理时校验后端服务器公钥证书
    
    proxy_ssl_server_name on;        #代理HTTPS服务器建立连接时，是否传递SNI信息。
  proxy_ssl_verify_depth 2;      #当配置机构颁发证书时需要配置添加此配置，否则因层级原因找不到证书，至少值要为2；
  
    error_log /nginx/logs/www.test.com_error.log;
  access_log /nginx/logs/www.test.com_access.log;

    location /xiaoxi{
    proxy_pass https://proxy/uri;

        }

}

• 验证 ：通过抓包信息可以看到，只开启 proxy_ssl_server_name on；不通过proxy_ssl_name 指定common name 发现已经被解析了：

抓包验证.png

3.6 使用自签证书配置的配置

upstream proxy{
        #替换为实际ip地址和端口,如果有多个则配置多个server
                server IP:port;
               }
server {
        listen 19996;
        server_name www.self.com;

        proxy_ssl_trusted_certificate   /nginx/ssl/server.crt; #服务端公钥证书
        proxy_ssl_name test.ssl.com;    #手动代理地址的服务器域名（也就是nginx要访问的域名；传递SNI信息)
        proxy_ssl_verify on;
  
        error_log /nginx/logs/https_self.conf_error.log;
        access_log /nginx/logs/https_self.conf_access.log;

        #双向认证
        proxy_ssl_certificate /nginx/ssl/testServer.crt;
        proxy_ssl_certificate_key  /nginx/ssl/testServer.key;

        location /self{
        proxy_pass https://proxy/uri;

        }

}

4. 使用tcpdump 抓包分析验证

tcpdump   tcp -i eth1  -n -X -s 0   and  host “访问地址”  -w h2c.pcap #将抓包内容放在Wireshark进行展示