Nginx リバースプロキシの SNI ベースの SSL ソリューション

Nginx リバース プロキシにおける SNI ベースの SSL ソリューション

インターネット テクノロジーの発展に伴い、Web アプリケーションのセキュリティ問題への注目がますます高まっています。 SSL 証明書は、データ送信のセキュリティを提供する暗号化技術として、Web アプリケーションを保護する重要な手段の 1 つとなっています。特殊なケースでは、複数の SSL 証明書を同じサーバーに導入する必要がある場合があり、このとき、時代のニーズに応じて SNI ベースの SSL ソリューションが登場しています。

1. SNI (サーバー名表示) とは

SNI は、クライアントが SSL 接続を確立するときに「Client Hello」メッセージに拡張フィールドを含めることを可能にする TLS 拡張プロトコルです。クライアントが接続したいホスト名をサーバーに伝えます。単一の IP アドレスとポート上で、複数のドメイン名が異なる SSL 証明書を同時に使用できます。

ただし、SNI はすべてのブラウザとサーバーでサポートされているわけではありません。 SNI を使用する場合は、クライアントとサーバーが同じ SSL プロトコル バージョンをサポートしていること、およびクライアントが SNI 拡張機能をサポートしていることを確認する必要があります。 Chrome、Firefox、IE7 以降、Opera など、現在一般的に使用されているブラウザはすべて SNI をサポートしています。

2. Nginx リバース プロキシと SSL

Nginx は高性能 Web サーバーであり、リバース プロキシをサポートしています。リバースプロキシは、別のサーバーにリクエストを送信し、リクエストの送信者にレスポンスを返す情報セキュリティ技術です。リバース プロキシ サーバーでは、負荷分散と SSL 暗号化も有効になります。

リバース プロキシ サーバーは、フロントエンド Web サーバーおよびバックエンドと通信するための中間層として機能します。 Nginx は、http と https の 2 つのサービス モードをサポートしています。 https サービスを使用する場合は、SSL 暗号化と復号化が必要です。

Nginx の SSL サポートには、単一 SSL 証明書モードと SNI ベースのマルチ証明書モードの 2 つのモードがあります。単一 SSL 証明書モードでは、1 つの SSL 証明書のみを使用できます。つまり、異なるドメイン名に異なる SSL 証明書を使用することはできません。 SNIに基づくマルチ証明書モードでは、マルチドメインSSL暗号化通信が可能です。

3. SNI ベースの SSL ソリューション

1. SSL 証明書の生成

まず、SSL 証明書を申請し、対応する証明書チェーンを生成する必要があります。秘密鍵。ここでは、2 つのドメイン名 abc.com と xyz.com を使用し、それぞれ 2 つの証明書を生成すると仮定します。

証明書の生成:

openssl req -newkey rsa:2048 -nodes -keyout abc.com.key -out abc.com.csr
openssl x509 -req -days 365 -in abc.com.csr -signkey abc.com.key -out abc.com.crt

openssl req -newkey rsa:2048 -nodes -keyout xyz.com.key -out xyz.com.csr
openssl x509 -req -days 365 -in xyz.com.csr -signkey xyz.com.key -out xyz.com.crt

証明書チェーンを生成します:

cat abc.com。 crt ドメイン.crt > abc.com-bundle.crt
cat xyz.com.crt ドメイン.crt > xyz.com-bundle.crt

2. Nginx の構成

Nginx 構成ファイルで、次の構成を追加する必要があります:

http {
...
# SSL キャッシュの構成
ssl_session_cacheshared:SSL:10m;
ssl_session_timeout 10m;

# SSL 証明書の構成
サーバー {

listen 443 ssl;
server_name abc.com;
ssl_certificate /path/to/abc.com-bundle.crt;
ssl_certificate_key /path/to/abc.com.key;

}

server {

listen 443 ssl;
server_name xyz.com;
ssl_certificate /path/to/xyz.com-bundle.crt;
ssl_certificate_key /path/to/xyz.com.key;

}
}

構成ファイルで ssl_certificate と ssl_certificate_key を指定して、それぞれ異なる SSL 証明書を使用します。同時に、サーバー ブロックをドメイン名ごとに構成する必要があります。

3. 構成の確認

Nginx を再起動した後、構成が有効かどうかを確認できます。ブラウザに abc.com と xyz.com を入力すると、ブラウザは TLS ハンドシェイク フェーズ中に SNI リクエストを送信し、対応する SSL 証明書を返します。リクエストが正常に返された場合は、SNI ベースの SSL ソリューションが有効になったことを証明します。

4. 概要

SNI ベースの SSL ソリューションは、同じサーバー上に複数の SSL 証明書を展開できるため、マルチドメイン SSL 暗号化の使用が必要なシナリオに適しています。ただし、SNI はすべてのブラウザとサーバーでサポートされているわけではないことに注意してください。そのため、SNI を使用する場合は、クライアントとサーバーが同じ SSL プロトコル バージョンをサポートしていることを確認する必要があり、クライアントは SNI 拡張機能をサポートしている必要があります。構成プロセス中に、ドメイン名ごとにサーバー ブロックを構成し、対応する SSL 証明書と秘密キーを指定する必要があります。

以上がNginx リバースプロキシの SNI ベースの SSL ソリューションの詳細内容です。詳細については、PHP 中国語 Web サイトの他の関連記事を参照してください。