Nginx加密与上游服务器的TCP网络通信

本文介绍了如何保护NGINX和TCP上游服务器或TCP服务器上游组之间的TCP通信。

先决条件

NGINX Plus R6和更高版本或使用--with-stream和with-stream_ssl_module配置参数编译的最新NGINX开源
代理TCP服务器或TCP服务器的上游组
SSL证书和私钥

获取SSL服务器证书

首先，您将需要获取服务器证书和私钥，并将它们放在上游服务器或上游组中的每台服务器上。可以从可信证书颁发机构（CA）获得证书，也可以使用SSL库（例如OpenSSL）生成证书。

当需要加密NGINX与上游服务器之间的连接时，将使用自签名服务器证书。但是，这些连接很容易受到中间人攻击：冒名顶替者可以冒充上游服务器，而NGINX不会知道它正在与假服务器通信。如果获得了由可信CA签名的服务器证书（可以使用OpenSSL创建自己的内部CA），则可以将NGINX配置为仅信任由该CA签名的证书。这使攻击者更难模仿上游服务器。

获取SSL客户端证书

NGINX可以使用SSL客户端证书向上游服务器标识自己。此客户端证书必须由受信任的CA签名，并与相应的私钥一起存储在NGINX上。

您将需要配置上游服务器，以要求所有传入的SSL连接都需要客户端证书，并信任将客户端证书颁发给NGINX的CA。然后，当NGINX连接到上游时，它将提供其客户端证书，而上游服务器将接受它。

配置NGINX

在NGINX配置文件中，将该proxy_ssl指令包括server在该stream级别的块中：

stream {server {...proxy_pass backend;proxy_ssl  on;}
}

然后指定上游服务器所需的SSL客户端证书的路径以及证书的私钥：

server {...proxy_ssl_certificate     /etc/ssl/certs/backend.crt;proxy_ssl_certificate_key /etc/ssl/certs/backend.key;
}

（可选）您可以指定使用哪些SSL协议和密码：

server {...proxy_ssl_protocols TLSv1 TLSv1.1 TLSv1.2;proxy_ssl_ciphers   HIGH:!aNULL:!MD5;
}

如果您使用由CA颁发的证书，则还应包含该proxy_ssl_trusted_certificate指令，以将该文件命名为包含用于验证上游安全证书的受信任CA证书的文件。该文件必须为PEM格式。（可选）包括proxy_ssl_verify和proxy_ssl_verfiy_depth指令，以使NGINX检查安全证书的有效性：

server {...proxy_ssl_trusted_certificate /etc/ssl/certs/trusted_ca_cert.crt;proxy_ssl_verify       on;proxy_ssl_verify_depth 2;
}

每个新的SSL连接都需要在客户端和服务器之间进行完整的SSL握手，这会占用大量CPU。要让NGINX代理先前协商过连接参数并使用所谓的缩写握手，请包含以下proxy_ssl_session_reuse指令：

proxy_ssl_session_reuse on;

完整的例子

stream {upstream backend {server backend1.example.com:12345;server backend2.example.com:12345;server backend3.example.com:12345;}server {listen     12345;proxy_pass backend;proxy_ssl  on;proxy_ssl_certificate         /etc/ssl/certs/backend.crt;proxy_ssl_certificate_key     /etc/ssl/certs/backend.key;proxy_ssl_protocols           TLSv1 TLSv1.1 TLSv1.2;proxy_ssl_ciphers             HIGH:!aNULL:!MD5;proxy_ssl_trusted_certificate /etc/ssl/certs/trusted_ca_cert.crt;proxy_ssl_verify        on;proxy_ssl_verify_depth  2;proxy_ssl_session_reuse on;}
}

在此示例中，proxy_ssl伪指令指定了NGINX转发到上游服务器的TCP通信的安全。

当安全的TCP连接第一次从NGINX传递到上游服务器时，将执行完整的握手过程。上游服务器要求NGINX出示proxy_ssl_certificate指令中指定的安全证书。的proxy_ssl_protocols和proxy_ssl_ciphers，其协议和密码被用于指令控制。

下次NGINX将连接传递到上游时，由于该proxy_ssl_session_reuse指令，会话参数将被重用，并且安全的TCP连接建立得更快。

proxy_ssl_trusted_certificate指令命名的文件中的受信任CA证书用于在上游服务器上验证证书。该proxy_ssl_verify_depth伪指令指定检查证书链中的两个证书，并且该proxy_ssl_verify伪指令验证证书的有效性。

要了解有关NGINX Plus的更多信息，请参阅我们的商业订阅。