如何在不解密的情况下路由 HTTPS 加密数据包？

Question

这可以通过使用nginx ngx_stream_ssl_preread_module。以下是示例配置：

user  nginx;
worker_processes  auto;

error_log  /var/log/nginx/error.log warn;
pid        /var/run/nginx.pid;


events {
    worker_connections  1024;
}

stream {
    upstream server1 {
        server 192.0.2.125:443;
    }

    upstream server2 {
        server 192.0.2.126:443;
    }

    map $ssl_preread_server_name $upstream {
        hostnames;
        .server1.example.com server1;
        .server2.example.com server2;
    }

    server {
        listen 443;
        listen [::]:443;

        ssl_preread on;
        proxy_pass $upstream;
    }
}

该upstream指令用于定义要发送流量的服务器。然后允许map $ssl_preread_server_name从nginx客户端读取请求的 SNI 值，以将流量正确地引导到正确的upstream框。

这会仅有的nginx如果客户端发送了有效的 SNI 值，则此方法有效。这也允许使用客户端证书进行身份验证，因为 TLS 连接直到将流量发送到远程端点后才完成。

Answer 1

这可以通过使用nginx ngx_stream_ssl_preread_module。以下是示例配置：

user  nginx;
worker_processes  auto;

error_log  /var/log/nginx/error.log warn;
pid        /var/run/nginx.pid;


events {
    worker_connections  1024;
}

stream {
    upstream server1 {
        server 192.0.2.125:443;
    }

    upstream server2 {
        server 192.0.2.126:443;
    }

    map $ssl_preread_server_name $upstream {
        hostnames;
        .server1.example.com server1;
        .server2.example.com server2;
    }

    server {
        listen 443;
        listen [::]:443;

        ssl_preread on;
        proxy_pass $upstream;
    }
}

该upstream指令用于定义要发送流量的服务器。然后允许map $ssl_preread_server_name从nginx客户端读取请求的 SNI 值，以将流量正确地引导到正确的upstream框。

这会仅有的nginx如果客户端发送了有效的 SNI 值，则此方法有效。这也允许使用客户端证书进行身份验证，因为 TLS 连接直到将流量发送到远程端点后才完成。

如何在不解密的情况下路由 HTTPS 加密数据包？

答案1

相关内容