使用 nginx 反向代理,我应该在 Nginx 还是其他服务中安装我的 ssl 证书?

使用 nginx 反向代理,我应该在 Nginx 还是其他服务中安装我的 ssl 证书?

我当前的设置是 Ubuntu 服务器(18.04),并且我已经安装了 Nginx(1.14.2)并将其配置为本地 Expressjs 服务(4.15.4)和未来项目的反向代理。

当使用 Nginx 作为一组服务的反向代理时,我应该将 SSL 证书安装到 Nginx 还是其他 Web 服务中,优缺点是什么?请使用事实,而不是意见。

我的想法是,如果我将它安装到我的 Nginx 服务中,那么只要我使用通配符证书,它就会保护一切。但除了使用稍微昂贵的通配符证书自动保护所有内容以及证书过期可能会毁掉一切之外,我不确定这样做的利弊。

但我的这个假设可能大错特错。这就是我问你的原因。我试图在网上找到一些关于这个主题的信息,但我找到的所有内容都指向安装证书的方向,我已经知道了哈哈。谢谢你的阅读!

答案1

浏览器 ----> nginx ----> 上游服务器

您可以在 nginx 和上游服务器上安装证书。但无需购买/使用通配符证书,因为 SNI 可以简化配置,

https://www.digitalocean.com/community/tutorials/how-to-set-up-multiple-ssl-certificates-on-one-ip-with-nginx-on-ubuntu-12-04

答案2

它基于您对该代理的期望以及您对代理和 Web 服务器之间的网络的信任程度。

如果您在您的网络服务器上安装证书,这会更容易,但您的代理会相当迟钝,因为它无法解密流。

如果你在代理上安装证书,你将拥有更好的代理,但你必须保护代理和网络服务器之间的连接

相关内容