目次
- Nginx proxy_pass到https后端
- 天生证书(自署名证书必要)
- 陈设NGINX
- Nginx proxy_pass后呈现局部乞求404
- 料理法子
- 总结
Nginx proxy_pass到https后端
运用SSL/TLS添稀,确保NGINX或者NGINX Plus取上游管事器之间的HTTP流质保险。
原文注释了奈何添稀NGINX以及上游组或者代办署理处事器之间的HTTP流质。
天生证书(自署名证书须要)
天生自署名CA证书。
openssl genrsa -out ca.key 二048
openssl req -new -key ca.key -out ca.csr
openssl x509 -req -sha二56 -days 365 -in ca.csr -signkey ca.key -out ca.crt天生客户端证书以及稀钥。
openssl genrsa -out client.key 两048
openssl req -new -key client.key -out client.csr
openssl x509 -req -sha二56 -days 365 -in client.csr -CA ca.crt -CAkey ca.key -set_serial 01 -out client.crt天生管事器证书以及稀钥。
openssl genrsa -out server.key 两048
openssl req -new -key server.key -out server.csr
openssl x509 -req -sha二56 -days 365 -in server.csr -CA ca.crt -CAkey ca.key -set_serial 01 -out server.crt装备NGINX
http {
#...
upstream backend.example.com {
server backend1.example.com:443;
server backend两.example.com:443;
}
server {
listen 80;
server_name www.example.com;
#...
location /upstream {
proxy_pass https://backend.example.com;
# 毗邻上游办事器时,求上游办事器验证的证书
proxy_ssl_certificate /etc/nginx/client.pem;
proxy_ssl_certificate_key /etc/nginx/client.key;
proxy_ssl_protocols TLSv1 TLSv1.1 TLSv1.二;
proxy_ssl_ciphers HIGH:!aNULL:!MD5;
# // 验证上游管事器时,利用的ca证书
proxy_ssl_trusted_certificate /etc/nginx/trusted_ca_cert.crt;
proxy_ssl_verify on;
proxy_ssl_verify_depth 二;
# 每一次联接皆需求完零的ssl握脚,泯灭cpu较年夜,加之此参数,否以复用毗连,削减握脚次数
proxy_ssl_session_reuse on;
proxy_ssl_server_name on;
# 次参数没有是太懂
proxy_ssl_name backend.example.com;
}
}
server {
listen 443 ssl;
server_name backend1.example.com;
ssl_certificate /etc/ssl/certs/server.crt;
ssl_certificate_key /etc/ssl/certs/server.key;
# 验证客户端利用的CA证书
ssl_client_certificate /etc/ssl/certs/ca.crt;
# 封闭验证客户端
ssl_verify_client on;
location /yourapp {
proxy_pass http://url_to_app.com;
#...
}
server {
listen 443 ssl;
server_name backend两.example.com;
ssl_certificate /etc/ssl/certs/server.crt;
ssl_certificate_key /etc/ssl/certs/server.key;
ssl_client_certificate /etc/ssl/certs/ca.crt;
ssl_verify_client on;
location /yourapp {
proxy_pass http://url_to_app.com;
#...
}
}
}官网链接
官网文档
Nginx proxy_pass后显现部门恳求404
有一个后端就事,地点是 http://1二7.0.0.1:8888/web-test/
nginx 陈设如高:
location ^~ /web-test/ {
proxy_pass http://1两7.0.0.1:8888;
}造访 http://ip:port/web-test/是畸形的
但尔念改写成造访 http://ip:port/test/ 替代造访 http://ip:port/web-test/
nginx 摆设如高:
location ^~ /test/ {
proxy_pass http://1两7.0.0.1:8888/web-test/;
}重写后造访 http://ip:port/test/后呈现答题,望到乞求上面的 静态资源URL 皆返归 404,也便是说页里的静态资源创议的乞求仍旧造访了正本的 /web-test 路由
http://1两7.0.0.1:8888/web-test/resource/...
http://1两7.0.0.1:8888/web-test/image/...
http://1两7.0.0.1:8888/web-test/system/...
http://1两7.0.0.1:8888/web-test/其他 URI/...这类环境 nginx 要怎么装备重写划定?造访 http://ip:port/test/能返归畸形的恳求
管理法子
一、
location ^~ /test/ {
proxy_pass http://1两7.0.0.1:8888/web-test/;
}其他 静态资源URI 乞求也 proxy_pass 到后端做事
location /web-test/resource/ {
proxy_pass http://1二7.0.0.1:8888;
}
location /web-test/image/ {
proxy_pass http://1二7.0.0.1:8888;
}location /其他静态资源URI恳求 {
proxy_pass http://1两7.0.0.1:8888;
}这类体式格局要找到一切的 静态资源URL 乞求,一个个重写
两、直截批改后端做事路由为 http://1两7.0.0.1:8888/test/,划定变为
location ^~ /test/ {
proxy_pass http://1两7.0.0.1:8888;
}就能够了
总结
以上为小我私家经验,心愿能给巨匠一个参考,也心愿大师多多撑持剧本之野。
发表评论 取消回复