ToB企服应用市场:ToB评测及商务社交产业平台

标题: Nginx代理到https地址忽略证书验证设置 [打印本页]
作者: 金歌    时间: 2024-9-29 20:47
标题: Nginx代理到https地址忽略证书验证设置
Nginx代理到https地址忽略证书验证设置,不推荐在生产环境中使用

在设置中增长:


Nginx在与后端服务器建立SSL/TLS连接时,将使用请求头中的Host字段值作为SNI的一部分,而且不会重用SSL/TLS会话。这种设置大概在特定场景下是有用的,但通常建议保持proxy_ssl_session_reuse为on以进步性能。
  1. location /test/ {
  2.                         proxy_pass https://www.baidu.com/;
  3.                         proxy_set_header X-Forwarded-Proto $scheme;
  4.                         proxy_set_header X-Forwarded-Port $server_port;
  5.                         proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
  6.                         proxy_set_header Upgrade $http_upgrade;
  7.                         proxy_set_header Connection "upgrade";
  8.                         proxy_ssl_server_name on;
  9.                 proxy_ssl_session_reuse off;
  10.                 }
复制代码
proxy_ssl_server_name

当proxy_ssl_server_name设置为on时,Nginx会在与后端服务器建立SSL/TLS连接时,使用请求头中的Host字段值作为SNI(Server Name Indication)的一部分。SNI是SSL/TLS扩展,它允许客户端在握手过程中指示它想要连接的服务器的主机名。这对于那些托管在单个IP地址上的多个SSL/TLS证书的后端服务器来说非常紧张,由于SNI允许服务器根据请求的主机名选择正确的证书。
如果proxy_ssl_server_name未设置或设置为off,Nginx将不会使用Host头部值作为SNI的一部分,这大概会导致SSL/TLS握手失败,特殊是当后端服务器期望SNI时。
proxy_ssl_session_reuse

proxy_ssl_session_reuse指令控制Nginx是否重用与后端服务器之间的SSL/TLS会话。当设置为off时,Nginx不会在多个请求之间重用SSL/TLS会话。这意味着每次Nginx与后端服务器建立连接时,都会举行完整的SSL/TLS握手过程,这大概会增长延迟和服务器负载。
相反,当proxy_ssl_session_reuse设置为on(这是默认值)时,Nginx会实行重用现有的SSL/TLS会话,以减少握手次数并进步性能。
在某些情况下,大概想要禁用会话重用,例如,当后端服务器的SSL/TLS证书频繁更改时,大概出于安全考虑希望每次请求都建立新的连接。

免责声明:如果侵犯了您的权益,请联系站长,我们会及时删除侵权内容,谢谢合作!更多信息从访问主页:qidao123.com:ToB企服之家,中国第一个企服评测及商务社交产业平台。



欢迎光临 ToB企服应用市场:ToB评测及商务社交产业平台 (https://dis.qidao123.com/) Powered by Discuz! X3.4