在nginx中使用ssl上行的proxy_pass

Question

我正在尝试配置一个子域，以便将请求代理到我无法控制的其他服务器。一个朋友运行该服务器，他使用自己的CA来避免为ssl证书付费。我尝试将我的配置代理到我自己的一个子域，运行一个有效的ssl证书，它工作得很好，但是一旦我代理他和他的“无效”ssl证书，nginx就一直问我要我的凭据。

下面是我的配置：

server
{

listen                          [::]:443 ssl spdy;
listen                          443 ssl;
server_name                     subdomain.mydomain.tld;


ssl_prefer_server_ciphers   on;
ssl_protocols               TLSv1 TLSv1.1 TLSv1.2;
ssl_ciphers                 'ECDHE-RSA-AES256-GCM-SHA384:ECDHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-SHA384:ECDHE-RSA-AES128-SHA256:ECDHE-RSA-AES256-SHA:ECDHE-RSA-AES128-SHA:DHE-RSA-AES256-SHA256:DHE-RSA-AES128-SHA256:DHE-RSA-AES256-SHA:DHE-RSA-AES128-SHA:ECDHE-RSA-DES-CBC3-SHA:EDH-RSA-DES-CBC3-SHA:AES256-GCM-SHA384:AES128-GCM-SHA256:AES256-SHA256:AES128-SHA256:AES256-SHA:AES128-SHA:DES-CBC3-SHA:HIGH:!aNULL:!eNULL:!EXPORT:!CAMELLIA:!DES:!MD5:!PSK:RC4';
ssl_session_cache           shared:SSL:10m;
ssl_dhparam                 /etc/ssl/certs/dhparam.pem;
ssl_session_timeout         5m;
ssl_certificate             /etc/ssl/mydomain.crt;
ssl_certificate_key         /etc/ssl/mydomain.key;
ssl_stapling                on;
ssl_stapling_verify         on;
ssl_trusted_certificate     /etc/ssl/startssl.pem;
add_header                  Strict-Transport-Security max-age=63072000;

root                            /path/;
location /
{
    index                   /_h5ai/server/php/index.php;
    auth_basic              "mydomain";
    auth_basic_user_file    auth_file;
}

location /friend/
{
    rewrite                 ^/friend/(.*)  /$1 break;
    proxy_set_header        Authorization "Basic base64_encoded";
    proxy_pass              https://subdomain.friend.tld:443/blah/;
}

location ~ .php$
{
    fastcgi_pass            127.0.0.1:4242;
    include                 fastcgi.conf;
    fastcgi_read_timeout    3600;
}
}

我在日志中没有任何错误。我可以浏览/friend之外的任何东西，它的身份验证很好，但是一旦我进入/friend，身份验证就会一直弹出，就像我输入了错误的密码一样。我知道我的base64编码是有效的，我通过在我的一个子域上复制相同的身份验证来测试它，它工作得很好，所以我能想到的唯一解释就是nginx不喜欢他的证书。

有没有一些我会错过的配置，让我可以信任他的CA？或者只是禁用验证，数据根本不合理，即使通过http也可以，但他不想费心在服务器上配置它。因此，禁用验证对我来说是一个足够好的解决方案。

谢谢

Answer 1

您应该将朋友的CA证书(不是the服务器证书，而是他创建并用于签署其the服务器证书的CA证书)安装到默认的OpenSSL CA存储中。

首先，您需要确定OpenSSL将其文件保存在系统上的位置。在Linux上，通常是：

cd /etc/ssl/certs

将朋友的CA证书以PEM格式保存到该目录中。

然后，您需要确定该证书的散列：

openssl x509 -noout -hash -in your-friends-ca.pem

并创建指向证书文件的符号链接，将散列用作文件名，文件扩展名为.0

ln -s your-friends-ca.pem 34ae50c5.0

然后重启Nginx。