如何解决Nginx `proxy_ssl_trusted_certificate` 与 letencrypt 上游 其他信息进一步参考文档另见
我正在尝试将 proxy_pass
与 nginx 一起使用,其中与上游服务器的连接是加密的。上游服务器的证书是由letsencrypt certbot创建的。
# upstream server: nginx.conf
stream {
server {
listen 636 ssl;
ssl_certificate /etc/letsencrypt/live/upstream.example.com/fullchain.pem; # managed by Certbot
ssl_certificate_key /etc/letsencrypt/live/upstream.example.com/privkey.pem; # managed by Certbot
# ...
}
}
当不在下游服务器中验证代理证书时,一切正常。
# downstream server: nginx.conf
stream {
server {
listen 636 ssl;
ssl_certificate /etc/letsencrypt/live/downstream.example.com/fullchain.pem; # managed by Certbot
ssl_certificate_key /etc/letsencrypt/live/downstream.example.com/privkey.pem; # managed by Certbot
proxy_ssl on;
proxy_ssl_verify off;
proxy_pass upstream.example.com:636;
# ...
}
}
但是,如果我尝试验证下游服务器上的上游证书,我会收到一个上游 SSL 证书验证错误:(2:无法获得颁发者证书)而 SSL 与上游握手 strong> 在 nginx 错误日志中。
# downstream server: nginx.conf
stream {
server {
listen 636 ssl;
ssl_certificate /etc/letsencrypt/live/downstream.example.com/fullchain.pem; # managed by Certbot
ssl_certificate_key /etc/letsencrypt/live/downstream.example.com/privkey.pem; # managed by Certbot
proxy_ssl on;
proxy_ssl_verify on;
proxy_ssl_trusted_certificate /etc/nginx/ssl/upstream.example.com/chain.pem;
proxy_ssl_verify_depth 2;
proxy_pass upstream.example.com:636;
# ...
}
}
如果我尝试连接的上游服务器具有 letencrypt 证书,我需要对 proxy_ssl_trusted_certificate
和 proxy_ssl_verify_depth
进行哪些设置?
我已将 proxy_ssl_verify_depth
从 0 更改为 5,并且我已将上游服务器的 fullchain.pem
、chain.pem
和 cert.pem
用于 proxy_ssl_trusted_certificate
,但都没有成功。
其他信息
使用 openssl
验证 CA 证书有效:
# openssl verify -verify_depth 2 chain.pem
chain.pem: OK
根据 CA 证书验证来自上游服务器 fullchain.pem
的证书有效:
# openssl verify -CAfile chain.pem fullchain.pem
fullchain.pem: OK
进一步参考
- https://docs.nginx.com/nginx/admin-guide/security-controls/securing-http-traffic-upstream/
- https://nginx.org/en/docs/http/ngx_http_proxy_module.html
解决方法
proxy_ssl_trusted_certificate
所需的 CA 证书不是由 letencrypt 或上游服务器提供的。它已安装在下游服务器上。
在 Ubuntu 上,CA 证书的位置是 /etc/ssl/certs/ca-certificates.crt
。
# downstream server: nginx.conf
stream {
server {
listen 636 ssl;
ssl_certificate /etc/letsencrypt/live/downstream.example.com/fullchain.pem; # managed by Certbot
ssl_certificate_key /etc/letsencrypt/live/downstream.example.com/privkey.pem; # managed by Certbot
proxy_ssl on;
proxy_ssl_verify on;
proxy_ssl_trusted_certificate /etc/ssl/certs/ca-certificates.crt;
proxy_pass upstream.example.com:636;
# ...
}
}
文档
https://nginx.org/en/docs/http/ngx_http_proxy_module.html
proxy_ssl_verify on |离开;启用或禁用代理 HTTPS 服务器证书的验证。
proxy_ssl_verify_depth 数字;在代理的 HTTPS 服务器证书链中设置验证深度。
proxy_ssl_trusted_certificate 文件;使用 PEM 格式的可信 CA 证书指定一个文件,用于验证代理 HTTPS 服务器的证书。
另见
版权声明:本文内容由互联网用户自发贡献,该文观点与技术仅代表作者本人。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌侵权/违法违规的内容, 请发送邮件至 dio@foxmail.com 举报,一经查实,本站将立刻删除。