如何代理http_x_ssl_client_s_dn标题?

Nginx 前端之家
前端之家收集整理的这篇文章主要介绍了如何代理http_x_ssl_client_s_dn标题?前端之家小编觉得挺不错的,现在分享给大家,也给大家做个参考。

我想通过Nginx代理请求标头’HTTP_X_SSL_CLIENT_S_DN’.

这是我们的服务器网络结构.

[front server:443] <---> [Nginx proxy:8004] <---> [application server:8008]
(client cert auth)

当我尝试两台服务器([前端服务器]和[应用服务器])时,它运行正常.标题“HTTP_X_SSL_CLIENT_S_DN”已传递给应用程序服务器.

然后添加服务器[Nginx proxy],标题’HTTP_X_SSL_CLIENT_S_DN’未传递给应用程序服务器.

我的Nginx配置如下.

server {
    listen   8004;
    index index.html;

    location / {
        proxy_pass_header Server;
        proxy_pass_header X-Scheme;
        proxy_set_header Host $http_host;
        proxy_set_header X-Real-IP $remote_addr;
        proxy_pass http://app-server/;

# TODO: to proxy 'HTTP_X_SSL_CLIENT_S_DN'
# Failed settings
#        proxy_pass_request_headers on; # not worked (default: on)
#        proxy_pass_header X-SSL-Client-S-DN; # none
#        proxy_pass_header X_SSL_CLIENT_S_DN; # none
#        proxy_pass_header HTTP_X_SSL_CLIENT_S_DN; # none
#        proxy_pass_header HTTP-X-SSL-CLIENT-S-DN; # none
#        proxy_set_header X-SSL-Client-S-DN $ssl_client_s_dn; # none
#        proxy_set_header X_SSL_Client_S_DN $x_ssl_client_s_dn; # none
#        proxy_set_header X-SSL-Client-S-DN $http_ssl_client_s_dn; # none
#        proxy_set_header X-SSL-Client-S-DN $http_x_ssl_client_s_dn; # none
    }
}

upstream app-server {
    server 127.0.0.1:8008;
}

任何帮助申请.

最佳答案
首先,请确保已配置Nginx.conf来验证客户端证书!我有完全相同的问题你描述.

server {
  # ...
  ssl_client_certificate /srv/ssl/self.crt;
  ssl_verify_depth     1;
  ssl_verify_client    on;
  # ...
  location @app { # I'm using Nginx+unicorn,don't blindly copy this!  :)
    # ...
    proxy_set_header X-SSL-Client-Serial $ssl_client_serial;
    proxy_set_header X-SSL-Client-Verify $ssl_client_verify;
    proxy_set_header X-SSL-Client-S-DN   $ssl_client_s_dn;
    # ...
}

要对此进行测试,您需要一个单独的客户端密钥和使用根授权证书签名的证书.客户端凭据以“me”开头,我的根权限凭据在以下命令中以“self”开头.

>为客户端生成私钥.

openssl genrsa -out me.key 1024

>请求自我CA签名.

openssl req -new -key me.key -out me.csr

>使用自CA签署请求以创建证书.

openssl x509 -req -days 365 -in me.csr -CA self.crt -CAkey self.key -set_serial 01 -out me.crt

>试试你的新钥匙.

curl -v -s -k --key me.key --cert me.crt https://fort-awesome-o

>额外信用:生成可导入浏览器的证书.

openssl pkcs12 -export -in me.crt -inkey me.key -certfile self.crt -out me.p12

我有一个简单的Sinatra Web应用程序转储HTTP环境,我看到以下内容

“HTTP_X_SSL_CLIENT_SERIAL”=>“01”,“HTTP_X_SSL_CLIENT_VERIFY”=>“SUCCESS”,“HTTP_X_SSL_CLIENT_S_DN”=>“/ C = US / ST = Maryland / L = Annapolis / O = Fort Kickass / CN = Jonathan Morton / emailAddress=jon@jonmorton.com”

原文链接:https://www.f2er.com/nginx/434524.html
nginx

猜你在找的Nginx相关文章

Nginx基础知识学习(安装/进程模型/事件处理机制/详细配置/定时切割日志)
一、Linux下Nginx的安装 1.去官网&#160;http://nginx.org/download/下载对应的Nginx安...
Nginx配置文件nginx.conf中location的匹配原则
一、空格:默认匹配、普通匹配 location / { root /home; } 二、= :精确匹配(表示匹配到...
nginx指定配置文件启动
``` nginx -c 配置文件路径 ``` ``` /usr/local/nginx/sbin/nginx -c /usr/local/nginx/co...
你真的了解负载均衡中间件nginx吗?
前言 nginx可所谓是如今最好用的软件级别的负载均衡了。通过nginx的高性能,并发能力强,占...
Ngnix负载均衡安装及配置
1.ngnix概念 Nginx是一款高性能的http 服务器/反向代理服务器及电子邮件(IMAP/POP3)代理...
[Linux] nginx的try_files指令实现隐藏index.php的重写
1.nginx的try_files指令 ,核心功能是替代rewrite,并且比rewrite更强大的是可以按顺序查找...
[日常] 前端资源测试机上忽略版本号的的nginx配置
利用nginx的rewrite的指令,可以实现url的重新跳转,rewrtie有四种不同的flag,分别是redi...
[Nginx] 1.17.9中的更改日志
1. 不允许多个Host请求头 2. 忽略额外的Transfer-Encoding请求头 3.修复在HTTP/2时的socke...
[Linux] 解决nginx: [emerg] directive "rewrite" is not terminated by ";"
解决nginx: [emerg] directive &quot;rewrite&quot; is not terminated by &q...
[Nginx] location与rewrite配合处理项目的重写和路径问题
某个项目中路由是通过$_SERVER[&#39;REQUEST_URI&#39;]来进行的匹配处理 , 并且隐...
LinuxWindowsCentOSUbuntuNginxWebServiceScalaMemcacheApacheRedisDockerBashAzureTomcatLNMPShell数据结构服务器运维网络安全
xebugnodemondocker-copydcoselasticsearcwindows-contdocker-windodocker-awsamazon-cloudenvoyproxyhashicorp-vaswisscomdevkafka-pythonzscalerphoton-osdocker-swarmkamongoogle-cloudconcoursewso2-ampersistent-vapi-managerprocess-manamanjarojenkins-workhypriotremoteapikeystonejsbitcoindbitcoin-test