中国服务器网
  1. 中国服务器网
  3. NGINX:客户端证书
Intereting Posts
Unix'别名'失败,'awk'命令 挂钩__thiscall而不使用__fastcall 什么是在Windows上存储应用程序运行时数据的正确文件夹? 添加一个自定义“新build文件夹”到Windows资源pipe理器上下文菜单 在Windows CE手持设备上禁用键盘registry不起作用 在terminal使用curl“if”语句? Windows错误报告何时创build转储文件? 它是可configuration的吗? 这在Windows 7中改变了吗? 以编程方式删除.git .idx .pack文件 交叉编译期望用于ARM 具有挂在GetContext()上的SSL证书的HttpListener 使用JMX和htop报告的Java内存 为什么Logstash从Linux中的文件重新加载重复的数据? os.listdir()显示文件实际上不在Python和Windows的文件夹中 如何获得对LAMP应用能力的粗略估计? 在函数调用窗口批处理脚本中退出PIPE字符

NGINX:客户端证书

我的环境

我有Elastic Beanstalk的AWS API网关。 我想在主机端使用客户端证书validation(Elastic Beanstalk)。 Elastic Beanstalk由负载平衡器(ELB)和EC2与NGINX和我的Ruby on Rails应用程序组成。 我已经在API网关上生成了客户端证书。 目前的stream量是:

  1. API网关发送请求
  2. 这个请求通过Elastic Load Balancer(TCP端口80),并发送到端口80(TCP)上的EC2实例,
  3. 在EC2实例中,我有在Docker中运行的NGINX。 NGINX容器侦听绑定到主机端口80的端口443。

API网关 – >(TCP 80)ELB(TCP 80) – >(端口80)主机 – >(端口443)NGINX容器

我的问题

我使用以下nginx.conf,我试图做客户端证书validation: 

user root; error_log /var/log/app-nginx-error.log debug; pid /var/run/app-nginx.pid; events { worker_connections 8096; multi_accept on; use epoll; } http { include /etc/nginx/mime.types; default_type application/octet-stream; log_format main '$remote_addr - $remote_user [$time_local] "$request" ' '$status $body_bytes_sent "$http_referer" ' '"$http_user_agent" "$http_x_forwarded_for" "$ssl_client_cert"'; access_log /var/log/app-nginx-access.log main; sendfile on; tcp_nopush on; tcp_nodelay on; keepalive_timeout 10; upstream appserver { server unix:///var/run/puma.sock; } server { listen 443 default_server; root /var/www/public; client_max_body_size 16m; ssl_trusted_certificate /etc/nginx/ssl/api-gateway.pem; ssl_client_certificate /etc/nginx/ssl/api-gateway.pem; ssl_verify_client on; ssl_protocols SSLv3 TLSv1 TLSv1.1 TLSv1.2; ssl_ciphers "HIGH:!aNULL:!MD5 or HIGH:!aNULL:!MD5:!3DES"; ssl_prefer_server_ciphers on; if ($ssl_client_verify = FAILED) { return 495; } if ($ssl_client_verify = NONE) { return 402; } if ($ssl_client_verify != SUCCESS) { return 403; } location ^~ /assets/ { gzip_static on; expires max; add_header Cache-Control public; } try_files $uri/index.html $uri @appserver; location @appserver { proxy_set_header Host $host; proxy_set_header X-Real-IP $remote_addr; proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for; proxy_set_header X-Forwarded-Host $server_name; proxy_set_header Client-IP $remote_addr; proxy_pass http://appserver; proxy_set_header X-Client-Verify $ssl_client_verify; } access_log /var/log/app-nginx-access.log; error_log /var/log/app-nginx-error.log debug; error_page 500 502 503 504 /500.html; } }

但是,当我使用API​​ Gateway发送Cert来testing它时,它始终返回403 – 它来自以下块: 

  if ($ssl_client_verify != SUCCESS) { return 403; }

对我来说奇怪的是,它没有进入任何以前的陈述与失败

如果我删除: 

  ssl_verify_client on;

它也进入: 

  if ($ssl_client_verify != SUCCESS) { return 403; }

如果我再次把ssl_verify_client放在上面,并删除这个if语句: 

  if ($ssl_client_verify != SUCCESS) { return 403; }

一切都传递给我 – 如果我发送请求与证书或没有证书无关紧要。

我的问题

  1. 我的nginx.conf行吗? (也许我已经混合了TCP / HTTP的东西?)
  2. 有没有什么办法可以得到更多的细节NGINX(是否有任何证书?),ssl_verify_client的结果是什么,什么可以帮助检测问题?

我可能在这里是非常错误的,但它看起来像你的设置

“API网关 – >(TCP 80)ELB(TCP 80) – >(端口80)主机 – >(端口443)NGINX容器”

也许应该是

API网关 – >(TCP 80)ELB(TCP 443 ) – >(端口443)NGINX容器 – >(端口80)主机

也就是说,nginx应该坐在你的应用前面,而不是在它之后。

它也看起来像你实际上不是在你的配置文件中代理nginx的端口443到你的应用程序的端口80。 你错过了一个proxy_pass或类似的地方。

你还提到码头工人,你使用多容器环境还是单个容器? 如果前者,你应该(可以?)在Dockerrun.aws.json文件中指定nginx-app端口映射。