如何在 nginx 和应用程序之间的后端正确配置 SSL?

tag-icon tag-icon nginx ssl reverse-proxy backend
如何在 nginx 和应用程序之间的后端正确配置 SSL?

我正在尝试在后端配置重新加密,以便 nginx 和上游应用程序之间的流量与用户和 nginx 之间的流量分开加密。为了进行测试示例,我使用以下内容:https://github.com/jlengstorf/tutorial-deploy-nodejs-ssl-digitalocean-app.git。我读过很多帖子,但总是收到错误 502:网关错误。另外,我不知道这是否太偏执了。一切都在一台主机上,但我将运行多个服务,我的理由是其中任何一个都可能存在漏洞,并且可以通过每个应用程序在不同的证书下与 nginx 通信来减轻这种风险。为了使示例简单,我只为 Everything 使用了一个密钥。显然,如果我真的这样做,我会为每个重新加密实例创建一个新证书。我是网络托管方面的新手,正在考虑安全性,所以如果我上面说了什么令人不快的话,请告诉我。

我的域名配置文件

# HTTP — redirect all traffic to HTTPS
server {
    listen 443 ssl;
    server_name 127.0.0.1:5000;
    ssl_certificate /etc/letsencrypt/live/mydomain.com/fullchain.pem;
    ssl_certificate_key /etc/letsencrypt/live/mydomain.com/privkey.pem;
    root /var/www/html;
    index test_index.html;
    return 301 https://$host$request_uri;
}


# HTTPS — proxy all requests to the Node app
server {
    listen 443 ssl;
    listen [::]:443 ssl;
    server_name mydomain.com;
    root /var/www/html;
    index test_index.html;
    # Use the Let’s Encrypt certificates
    ssl_certificate /etc/letsencrypt/live/mydomain.com/fullchain.pem;
    ssl_certificate_key /etc/letsencrypt/live/mydomain.com/privkey.pem;
    # Include the SSL configuration from cipherli.st
    include snippets/ssl-params.conf;
    location /app {
        proxy_set_header X-Real-IP $remote_addr;
        proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
        proxy_set_header X-NginX-Proxy true;
        proxy_pass https://localhost:5000/;
        proxy_ssl_verify on;
        proxy_ssl_trusted_certificate /etc/letsencrypt/live/mydomain.com/fullchain.pem;
        proxy_ssl_certificate_key /etc/letsencrypt/live/mydomain.com/privkey.pem;
        proxy_ssl_session_reuse off;
        proxy_set_header Host $http_host;
        proxy_cache_bypass $http_upgrade;
        proxy_redirect off;
    }
}

/var/nginx/error.log 中的相应错误:

2020/10/22 16:17:13 [error] 11311#11311: *1 SSL_do_handshake() failed
(SSL: error:1408F10B:SSL routines:ssl3_get_record:wrong version number
) while SSL handshaking to upstream, client: xx.xxx.xx.xx, server: the
3guys.com, request: "GET /app HTTP/1.1", upstream: "https://127.0.0.1:
5000/", host: "mydomain.com"

在 nginx 站点配置文件中包含的 ssl-params.conf 代码片段中,我设置为使用我所知道的所有 TLS 版本:

ssl_protocols TLSv1 TLSv1.1 TLSv1.2 TLSv1.3;

答案1

一般来说,对同一主机上运行的服务之间的流量进行加密绝对没有任何安全优势。

(只有具有服务器完全访问权限的攻击者才能拦截本地主机流量。当他们能够做到这一点时,他们就可以直接(从文件系统)访问存储在服务器上的所有数据,而不需要费心拦截流量。)

您的错误消息似乎表明您尝试通过从

    proxy_pass http://localhost:5000/;


    proxy_pass https://localhost:5000/;

无需实际转换后端即可实际运行 https。

一般来说,您也不能在同一端口上同时运行 http 和 https 服务。

要通过 https 连接到您的 Node.js 应用程序,您首先需要配置它实际加载证书并开始支持 https。

然后proxy_ssl_verify on这可能不是一个好主意,因为您无法获取域名proxy_pass https://localhost的公共 TLS 证书。localhost

相关内容