Проксі-сервер Nginx для бек-енд-аутентифікації із сертифікацією SSL-клієнта

У мене два сервери, на обох є nginx. Сервер A прослуховує 443 і налаштований для автентифікації за допомогою клієнтського SSL-сертифіката.

Сервер B має внутрішній процес, який потребує зв'язку з сервером A через nginx.

Я хотів би налаштувати Nginx на сервері B, який прослуховуватиме 8080 (без шифрування, оскільки це все місцеве спілкування) та проксі-пропуск до ServerA: 443.

Питання полягає в тому, як мені ввести сертифікат клієнта? Я не знайшов жодної функції proxy_xxxx, яка б це зробила.

Я знаю, як зробити еквівалент тому, що використовується socat, але моя вимога - використовувати nginx.

Чи достатньо пройти дані про сертифікат клієнта?

Ви можете додати

proxy_set_header X-SSL-CERT $ssl_client_escaped_cert;

у вашу конфігурацію, і тоді інформація про сертифікат доступна для сервера B через заголовок X-SSL-Cert.

Мабуть, це те, що ви шукаєте: http://nginx.org/en/docs/http/ngx_http_proxy_module.html#proxy_ssl_certificate Доступно з версії 1.7.8.

location / {
    ...
    proxy_pass     the_other_nginx;
    proxy_ssl_certificate  the_certificate.pem;
    ...
}

Здається, проблема значною мірою залежить від версії. У Ubuntu 14.04 LTS типовим nginx є застарілий 1,4. Спочатку потрібно встановити версію на основі PPA

https://leftshift.io/upgrading-nginx-to-the-latest-version-on-ubuntu-servers

показує, як це зробити за допомогою:

sudo add-apt-repository ppa:nginx/stable
sudo aptitude safe-upgrade

Ви повинні закінчити:

nginx -v
nginx version: nginx/1.8.0

Конфігурація з @ xatr0z відповідь https://serverfault.com/a/636455/162693, що вказує на http://www.senginx.org/en/index.php/Proxy_HTTPS_Client_Certificate не працює:

неробоча пропозиція

backend {
    server some-ip:443;
}

server {
    listen 80;


    location / {
        proxy_ssl_certificate        certs/client.crt;
        proxy_ssl_certificate_key    certs/client.key;


        proxy_pass https://backend;
    }
}

не працює з коробки з 1.8.0. Це, мабуть, означає лише підказку і не використовуватиметься як файл конфігурації як такий або залежить від іншої версії.

Я тестую на сервері Akend2 на основі apache2 з включеними SSL та сертифікатами клієнта з власним підписом SSLOptions конфігурації Apache встановлені на:

SSLOptions +ExportCertData +FakeBasicAuth + StdEnvVars

Це полегшує налагодження ситуації, оскільки в скрипті phpinfo () на задній панелі відображатиметься інформація про сервер та клієнтську сторону.

Щоб перевірити це, я використав:

https: // бекенд / тест / phpinfo

із сертифікатом SSL, встановленим у браузері, і я отримую такі розділи, як: SSL_SERVER_S_DN_CN для сертифіката сервера та SSL_CLIENT_S_DN_CN для сертифіката клієнта.

В якості першого запуску я використовував (заповнюючи частини в дужках) для налаштування nginx на сервері Frontend B:

server {
  listen 8080;
  server_name <frontend>;

  location / {
    proxy_buffering off;
    proxy_pass https://<backend>;
    #proxy_ssl_certificate      certs/<SSL Client Certificate>.crt;
    #proxy_ssl_certificate_key  certs/<SSL Client Certificate>.key;
  }
}

видалення конкретної частини сертифіката клієнта SSL лише для того, щоб перевірити, чи працює сам зворотний проксі.

nginx -t
nginx: the configuration file /etc/nginx/nginx.conf syntax is ok
nginx: configuration file /etc/nginx/nginx.conf test is successful
service nginx restart
nginx stop/waiting
nginx start/running, process 8931

Тепер http: // frontend: 8080 / test / phpinfo.php працює The

SSL_SERVER_S_DN_CN для серверного сертифіката відображається, а SSL_CLIENT_S_DN_CN для клієнтського сертифіката ще не відображається

Тепер після коментарів:

server {
  listen 8080;
  server_name <frontend>;

  location / {
    proxy_buffering off;
    proxy_pass https://<backend>;
    proxy_ssl_certificate      certs/<SSL Client Certificate>.crt;
    proxy_ssl_certificate_key  certs/<SSL Client Certificate>.key;
  }
}

і перевірка / перезапуск

nginx -t
nginx: the configuration file /etc/nginx/nginx.conf syntax is ok
nginx: configuration file /etc/nginx/nginx.conf test is successful
service nginx restart
nginx stop/waiting
nginx start/running, process 8931

http: // frontend: 8080 / test / phpinfo.php працює і

SSL_SERVER_S_DN_CN для сертифіката сервера відображається і SSL_CLIENT_S_DN_CN для сертифіката клієнта відображається

тому зараз у нас працює так, як просили.

Зверніть увагу на помилку https://trac.nginx.org/nginx/ticket/872#ticket

Є досить акуратна стаття про nginx та SSL-клієнтські сертифікати; він використовує PHP з FastCGI як приклад, але я думаю, ви можете це адаптувати до налаштування зворотного проксі:

server {
    listen        443;
    ssl on;
    server_name example.com;

    ssl_certificate      /etc/nginx/certs/server.crt;
    ssl_certificate_key  /etc/nginx/certs/server.key;
    ssl_client_certificate /etc/nginx/certs/ca.crt;
    ssl_verify_client optional;

    location / {
        root           /var/www/example.com/html;
        fastcgi_pass   127.0.0.1:9000;
        fastcgi_param  SCRIPT_FILENAME /var/www/example.com/lib/Request.class.php;
        fastcgi_param  VERIFIED $ssl_client_verify;
        fastcgi_param  DN $ssl_client_s_dn;
        include        fastcgi_params;
    }
}

Джерело http://nategood.com/client-side-certificate-authentication-in-ngi

Здається, цей модуль SEnginx - це те, що ви шукаєте: http://www.senginx.org/en/index.php/Proxy_HTTPS_Client_Certificate