快捷導(dǎo)航

Nginx代理到https地址忽略證書驗證配置的實現(xiàn)

更新時間：2024年09月10日 11:34:25 作者：He~~

在特定情況下,Nginx代理到HTTPS地址可能需要忽略證書驗證,本文就來介紹一下如何實現(xiàn),文中通過示例代碼介紹的非常詳細(xì),對大家的學(xué)習(xí)或者工作具有一定的參考學(xué)習(xí)價值,需要的朋友們下面隨著小編來一起學(xué)習(xí)學(xué)習(xí)吧

Nginx代理到https地址忽略證書驗證配置，不推薦在生產(chǎn)環(huán)境中使用

在配置中增加：

proxy_ssl_server_name on;
proxy_ssl_session_reuse ；

Nginx在與后端服務(wù)器建立SSL/TLS連接時，將使用請求頭中的Host字段值作為SNI的一部分，并且不會重用SSL/TLS會話。這種配置可能在特定場景下是有用的，但通常建議保持proxy_ssl_session_reuse為on以提高性能。

location /test/ {
			proxy_pass https://www.baidu.com/;
			proxy_set_header X-Forwarded-Proto $scheme;
			proxy_set_header X-Forwarded-Port $server_port;
			proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
			proxy_set_header Upgrade $http_upgrade;
			proxy_set_header Connection "upgrade";
			proxy_ssl_server_name on;
	        proxy_ssl_session_reuse off;
		}

proxy_ssl_server_name

當(dāng)proxy_ssl_server_name設(shè)置為on時，Nginx會在與后端服務(wù)器建立SSL/TLS連接時，使用請求頭中的Host字段值作為SNI（Server Name Indication）的一部分。SNI是SSL/TLS擴(kuò)展，它允許客戶端在握手過程中指示它想要連接的服務(wù)器的主機(jī)名。這對于那些托管在單個IP地址上的多個SSL/TLS證書的后端服務(wù)器來說非常重要，因為SNI允許服務(wù)器根據(jù)請求的主機(jī)名選擇正確的證書。
如果proxy_ssl_server_name未設(shè)置或設(shè)置為off，Nginx將不會使用Host頭部值作為SNI的一部分，這可能會導(dǎo)致SSL/TLS握手失敗，特別是當(dāng)后端服務(wù)器期望SNI時。

proxy_ssl_session_reuse

proxy_ssl_session_reuse指令控制Nginx是否重用與后端服務(wù)器之間的SSL/TLS會話。當(dāng)設(shè)置為off時，Nginx不會在多個請求之間重用SSL/TLS會話。這意味著每次Nginx與后端服務(wù)器建立連接時，都會進(jìn)行完整的SSL/TLS握手過程，這可能會增加延遲和服務(wù)器負(fù)載。
相反，當(dāng)proxy_ssl_session_reuse設(shè)置為on（這是默認(rèn)值）時，Nginx會嘗試重用現(xiàn)有的SSL/TLS會話，以減少握手次數(shù)并提高性能。
在某些情況下，可能想要禁用會話重用，例如，當(dāng)后端服務(wù)器的SSL/TLS證書頻繁更改時，或者出于安全考慮希望每次請求都建立新的連接。

到此這篇關(guān)于Nginx代理到https地址忽略證書驗證配置的實現(xiàn)的文章就介紹到這了,更多相關(guān)Nginx代理到https忽略證書內(nèi)容請搜索腳本之家以前的文章或繼續(xù)瀏覽下面的相關(guān)文章希望大家以后多多支持腳本之家！

您可能感興趣的文章: