4 votes

Darren avatar

Questions sur le "proxy_ssl_certificate" de NginX, à quoi sert-il ?

Demandé el 9 de Mai, 2017
Quand la question a-t-elle été
3760 affichage
Nombre de visites la question a
1 Réponses
Nombre de réponses aux questions
Résolu
Situation réelle de la question

La documentation ne précise pas clairement comment utiliser les directives proxy_ssl_certificate.

J'ai ce genre d'installation :

Serveur InternalA <---HTTPS---> Serveur NginxB <----HTTPS----> remote-website-A

Le serveur NginxB doit transmettre les GET/POST (générés dans InternalA) au site web distant et renvoyer les résultats en utilisant SSL.

Mon serveur NginxB fonctionne avec SSL activé et tous les certificats préparés.

Cependant, sous la balise "location {" pour le proxy vers le site Web distant A, je dois définir d'autres paramètres pour SSL, n'est-ce pas ? Ces paramètres doivent-ils simplement correspondre aux paramètres SSL situés au-dessus des balises "location" ?

#proxy_ssl_certificate src.crt;
#proxy_ssl_certificate_key srv.key;
#proxy_ssl_ciphers TLSv1.2;
#proxy_ssl_password_file keyfile.pz;
#proxy_ssl_protocols TLSv1.2;
#proxy_ssl_trusted_certificate root.crt;
#proxy_ssl_verify on;

Ou bien ces directives proxy_ssl sont-elles utilisées pour les personnes qui utilisent mon proxy ?

La question : Le serveur NginxB va-t-il réussir à effectuer une poignée de main SSL bidirectionnelle avec le site Web distant A sans définir les paramètres proxy_ssl ?

Demandé el 9 de Mai, 2017 par Darren

Réponse

Trop de publicités?

5voto

Tim avatar
Tim Points 28848

El documentation dit "Spécifie un fichier avec le certificat au format PEM utilisé pour l'authentification à un serveur HTTPS proxié". Cela suggère que si vous ne faites pas d'authentification par certificat client, vous pouvez l'ignorer.

Si vous voulez de l'aide pour un problème réel, vous devriez mieux spécifier le problème. On dirait que vous cherchez des conseils en matière d'architecture ou de conception.

Vous n'avez pas précisé si vous avez un problème, vous avez juste dit ce que vous essayez d'obtenir. S'il y a un problème avec ce genre de réflexion, je m'attends à voir.. :

  • une boucle démontrant le problème
  • les journaux d'accès et d'erreurs de chaque application de la pile ou de la chaîne pour obtenir plus d'informations.
  • configuration
  • ce que vous avez fait jusqu'à présent pour essayer de résoudre le problème vous-même.

Je vous suggère de recommencer et de réécrire complètement votre question.

Répondu el 9 de Mai, 2017 par Tim (28848 Points )

0 votes

Avatar de Darren

Ma question simple est : est-ce que ça va marcher ? Le serveur nginx s'authentifiera-t-il via une poignée de main SSL avec le serveur proxy (site Web distant-A) ? Le serveur nginxB communiquera-t-il via SSL avec le site Web distant-A en utilisant les paramètres définis comme ssl on ; ssl_key= etc. dans un SSL bidirectionnel ? J'ai modifié la question ci-dessus.

Commenté el 9 de Mai, 2017 par Darren

0 votes

Avatar de Tim

Utilisez-vous l'authentification du client - c'est-à-dire que le serveur s'assure qu'il communique avec un client connu identifié par un certificat - ou le https normal où le client peut être n'importe quelle machine ?

Commenté el 9 de Mai, 2017 par Tim

0 votes

Avatar de Darren

Je pense qu'il doit s'agir d'un client-auth, sinon comment pouvez-vous être sûr que c'est ce site spécifique qui communique correctement ? L'autre site devrait avoir activé le mode "verify with CA" pour s'assurer que le SSL bidirectionnel est valide. Ils ont déjà mon certificat spécifique signé, même si les deux sites Web ont probablement la même AC racine. Ils n'ont pas donné beaucoup de précisions parce qu'ils ne sont pas très malins. J'essaie de déduire les spécifications exactes sans documentation de leur part. "codage préventif"

Commenté el 9 de Mai, 2017 par Darren
Afficher 8 autres commentaires

Questions en vedette

Top Tags

Dans notre réseau

SistemesEz.com

SystemesEZ est une communauté de sysadmins où vous pouvez résoudre vos problèmes et vos doutes. Vous pouvez consulter les questions des autres sysadmins, poser vos propres questions ou résoudre celles des autres.

Powered by:

Yandex
X