एसएसएल क्लाइंट सर्टिफिकेशन ऑथेंटिकेशन के साथ नगनेक्स प्रॉक्सी टू बैक-एंड

मेरे पास दो सर्वर हैं, दोनों में nginx है। सर्वर ए 443 को सुन रहा है और क्लाइंट एसएसएल प्रमाणपत्र के साथ प्रमाणित करने के लिए कॉन्फ़िगर किया गया है।

सर्वर B में एक आंतरिक प्रक्रिया होती है, जिसे nginx के माध्यम से सर्वर A को संप्रेषित करने की आवश्यकता होती है।

मैं सर्वर बी पर नंगेक्स को कॉन्फ़िगर करना चाहूंगा जो कि 8080 (कोई एन्क्रिप्शन नहीं होगा, क्योंकि यह सभी स्थानीय संचार है) और प्रॉक्सी_पास टू सर्वरए: 443।

सवाल यह है कि मैं ग्राहक प्रमाणपत्र कैसे इंजेक्ट कर सकता हूं? मुझे ऐसा कोई भी प्रॉक्सी_xxxx फंक्शन नहीं मिला जो ऐसा करता हो।

मुझे पता है कि समाज के साथ एक समतुल्य कैसे बनाना है, लेकिन मेरी आवश्यकता नगीनेक्स का उपयोग करना है।

क्या क्लाइंट सर्टिफिकेट विवरण पास होना पर्याप्त है?

आप जोड़ सकते हो

proxy_set_header X-SSL-CERT $ssl_client_escaped_cert;

आपके कॉन्फिगरेशन और फिर सर्टिफिकेट की जानकारी सर्वर बी को एक्स-एसएसएल-सर्टिफिकेट हेडर के जरिए उपलब्ध है।

जाहिरा तौर पर, यह वही है जो आप ढूंढ रहे हैं: http://nginx.org/en/docs/http/ngx_http_proxy_module.html#proxy_ssl_certificate संस्करण 1.7.8 के बाद से उपलब्ध है।

location / {
    ...
    proxy_pass     the_other_nginx;
    proxy_ssl_certificate  the_certificate.pem;
    ...
}

यह मुद्दा काफी हद तक संस्करण पर निर्भर करता है। उबंटू 14.04 एलटीएस पर डिफ़ॉल्ट नगनेक्स एक पुराना 1.4 है। सबसे पहले आपको पीपीए आधारित संस्करण स्थापित करने की आवश्यकता है

https://leftshift.io/upgrading-nginx-to-the-latest-version-on-ubuntu-servers

दिखाता है कि यह कैसे करना है:

sudo add-apt-repository ppa:nginx/stable
sudo aptitude safe-upgrade

आपको समाप्त होना चाहिए:

nginx -v
nginx version: nginx/1.8.0

@ Xatr0z जवाब से विन्यास https://serverfault.com/a/636455/162693 की ओर इशारा करते http://www.senginx.org/en/index.php/Proxy_HTTPS_Client_Certificate नहीं काम करता है:

गैर-कार्य प्रस्ताव

backend {
    server some-ip:443;
}

server {
    listen 80;


    location / {
        proxy_ssl_certificate        certs/client.crt;
        proxy_ssl_certificate_key    certs/client.key;


        proxy_pass https://backend;
    }
}

1.8.0 के साथ बॉक्स से बाहर काम नहीं करता है। यह शायद केवल एक संकेत के रूप में होता है और इसे कॉन्फ़िगरेशन फ़ाइल के रूप में उपयोग नहीं किया जाता है या किसी अन्य संस्करण पर निर्भर करता है।

मैं एक अपाचे 2 आधारित बैकएंड सर्वर ए के साथ एसएसएल और स्व-हस्ताक्षरित क्लाइंट प्रमाण पत्र सक्षम कर रहा हूं। अपाचे कॉन्फिगर एसएसएल्यूएशन निम्न पर सेट हैं:

SSLOptions +ExportCertData +FakeBasicAuth + StdEnvVars

यह स्थिति को डीबग करना आसान बनाता है क्योंकि बैकएंड साइड पर एक phpinfo () स्क्रिप्ट सर्वर और क्लाइंट साइड जानकारी दिखाएगा।

यह सत्यापित करने के लिए मैंने प्रयोग किया है:

https: // बैकएंड / परीक्षण / phpinfo

ब्राउज़र में स्थापित एसएसएल प्रमाणपत्र के साथ और मुझे इस तरह के अनुभाग मिलते हैं: क्लाइंट प्रमाण पत्र के लिए सर्वर प्रमाणपत्र के लिए एसएसएल_सर्वर_एस_एनडीएनसी और क्लाइंट प्रमाण पत्र के लिए SSL_CLIENT_S_DN_CN।

एक पहली शुरुआत के रूप में मैंने उपयोग किया (कोष्ठक में भागों को भरने के लिए) दृश्यपटल सर्वर B पर nginx को कॉन्फ़िगर करने के लिए:

server {
  listen 8080;
  server_name <frontend>;

  location / {
    proxy_buffering off;
    proxy_pass https://<backend>;
    #proxy_ssl_certificate      certs/<SSL Client Certificate>.crt;
    #proxy_ssl_certificate_key  certs/<SSL Client Certificate>.key;
  }
}

एसएसएल क्लाइंट सर्टिफिकेट विशिष्ट भाग को केवल यह जांचने के लिए कि रिवर्स प्रॉक्सी स्वयं काम करता है।

nginx -t
nginx: the configuration file /etc/nginx/nginx.conf syntax is ok
nginx: configuration file /etc/nginx/nginx.conf test is successful
service nginx restart
nginx stop/waiting
nginx start/running, process 8931

अब http: // frontend: 8080 / test / phpinfo.php काम करता है

सर्वर प्रमाणपत्र के लिए SSL_SERVER_S_DN_CN प्रदर्शित होता है और क्लाइंट प्रमाणपत्र के लिए SSL_CLIENT_S_DN_CN (अभी तक) प्रदर्शित नहीं होता है

अब असहज होने के बाद:

server {
  listen 8080;
  server_name <frontend>;

  location / {
    proxy_buffering off;
    proxy_pass https://<backend>;
    proxy_ssl_certificate      certs/<SSL Client Certificate>.crt;
    proxy_ssl_certificate_key  certs/<SSL Client Certificate>.key;
  }
}

और जाँच / पुनः आरंभ करना

nginx -t
nginx: the configuration file /etc/nginx/nginx.conf syntax is ok
nginx: configuration file /etc/nginx/nginx.conf test is successful
service nginx restart
nginx stop/waiting
nginx start/running, process 8931

http: // frontend: 8080 / test / phpinfo.php काम करता है और

सर्वर प्रमाण पत्र के लिए SSL_SERVER_S_DN_CN प्रदर्शित किया जाता है और क्लाइंट प्रमाणपत्र के लिए SSL_CLIENT_S_DN_CN प्रदर्शित किया जाता है

इसलिए अब हमें काम की चीजें मिल गई हैं।

कृपया बग https://trac.nginx.org/nginx/ticket/872#ticket पर ध्यान दें

Nginx और SSL क्लाइंट प्रमाणपत्र पर काफी साफ-सुथरा लेख है; यह उदाहरण के रूप में FastCGI के साथ PHP का उपयोग करता है, लेकिन मुझे लगता है कि आप इसे रिवर्स प्रॉक्सी सेटअप के लिए अनुकूलित कर सकते हैं:

server {
    listen        443;
    ssl on;
    server_name example.com;

    ssl_certificate      /etc/nginx/certs/server.crt;
    ssl_certificate_key  /etc/nginx/certs/server.key;
    ssl_client_certificate /etc/nginx/certs/ca.crt;
    ssl_verify_client optional;

    location / {
        root           /var/www/example.com/html;
        fastcgi_pass   127.0.0.1:9000;
        fastcgi_param  SCRIPT_FILENAME /var/www/example.com/lib/Request.class.php;
        fastcgi_param  VERIFIED $ssl_client_verify;
        fastcgi_param  DN $ssl_client_s_dn;
        include        fastcgi_params;
    }
}

स्रोत http://nategood.com/client-side-certificate-authentication-in-ngi