Nginx反向代理中基於SNI的SSL解決方案-Nginx-PHP中文網

首頁

運維

Nginx

Nginx反向代理中基於SNI的SSL解決方案

王林

Jun 10, 2023 pm 09:57 PM

nginx反向代理ssl解決方案sni

Nginx反向代理中基於SNI的SSL解決方案

隨著網路技術的發展，Web應用的安全性問題越來越受到重視。 SSL憑證作為一種提供資料傳輸安全的加密技術，成為了保護Web應用的重要手段之一。而在一些特殊的情況下，需要在同一台伺服器上部署多個SSL證書，這時候基於SNI的SSL解決方案便應運而生。

一、SNI（Server Name Indication）是什麼

SNI是一種TLS擴充協議，可以讓客戶端在建立SSL連線時，在「Client Hello」訊息中包含擴充字段，告訴伺服器客戶端想要連接的主機名稱。在單一IP位址和連接埠上，可以實現多網域同時使用不同的SSL憑證。

然而，SNI並不會被所有的瀏覽器和伺服器支援。在使用SNI時，必須確保客戶端和伺服器支援同一個SSL協定版本，且客戶端必須支援SNI擴充。目前常用的瀏覽器，例如Chrome、Firefox、IE7以上版本、Opera等皆支援SNI。

二、Nginx反向代理和SSL

Nginx是一種高效能的Web伺服器，並且支援反向代理。反向代理是一種資訊安全技術，將請求傳送到不同的伺服器上，並將回應傳回給請求者。反向代理伺服器還可以實現負載平衡和SSL加密。

反向代理伺服器作為中間層，與前端Web伺服器和後端通訊。 Nginx支援http和https兩種服務模式。使用https服務時，就需要進行SSL加密和解密。

Nginx的SSL支援有兩種模式：單一SSL憑證模式和基於SNI的多憑證模式。在單一SSL證書模式下，只能使用一個SSL證書，即不能針對不同的網域使用不同的SSL證書。而在基於SNI的多憑證模式下，可以實現多網域SSL加密傳輸。

三、基於SNI的SSL解決方案

產生SSL證書

首先需要申請SSL證書，並產生對應的證書鍊和私鑰。這裡假設我們要使用兩個網域abc.com和xyz.com，分別產生兩張憑證。

產生憑證：

openssl req -newkey rsa:2048 -nodes -keyout abc.com.key -out abc.com.csr
openssl x509 -req -days 365 -in abc.com.csr -signkey abc.com.key -out abc.com.crt

openssl req -newkey rsa:2048 -nodes -keyout xyz.com.key -out xyz.com.csr
openssl x509 -req -days 365 -in xyz.com.csr -signkey xyz.com.key -out xyz.com.crt

產生憑證鏈：

cat abc.com. crt domain.crt > abc.com-bundle.crt
cat xyz.com.crt domain.crt > xyz.com-bundle.crt

#在Nginx的設定檔中，需要新增如下的設定：

http {

...
# 設定SSL快取
ssl_session_cache shared:SSL:10m;
ssl_session_timeout 10m;

# 設定SSL憑證

server {

listen 443 ssl;
server_name abc.com;
ssl_certificate /path/to/abc.com-bundle.crt;
ssl_certificate_key /path/to/abc.com.key;

}

server {

listen 443 ssl;
server_name xyz.com;
ssl_certificate /path/to/xyz.com-bundle.crt;
ssl_certificate_key /path/to/xyz.com.key;

}

在設定檔中指定ssl_certificate和ssl_certificate_key即可分別使用不同的SSL憑證。同時，需要為每個網域配置一個server區塊。

重啟Nginx後，即可驗證設定是否生效。在瀏覽器中輸入abc.com和xyz.com，瀏覽器會在TLS握手階段發送SNI請求並傳回對應的SSL憑證。如果請求正常返回，即可證明基於SNI的SSL解決方案已經生效。

四、總結

基於SNI的SSL解決方案可以實現在同一台伺服器上部署多個SSL證書，適用於需要使用多網域SSL加密的場景。然而，需要注意的是，SNI並不被所有的瀏覽器和伺服器支持，因此需要在使用時確保客戶端和伺服器支援同一個SSL協定版本，且客戶端必須支援SNI擴充。在設定過程中，需要為每個網域設定一個server區塊，並指定對應的SSL憑證和私鑰。

以上是Nginx反向代理中基於SNI的SSL解決方案的詳細內容。更多資訊請關注PHP中文網其他相關文章！

陳述

本文內容由網友自願投稿，版權歸原作者所有。本站不承擔相應的法律責任。如發現涉嫌抄襲或侵權的內容，請聯絡admin@php.cn

NGINX單元：支持不同的編程語言Apr 16, 2025 am 12:15 AM

NGINXUnit支持多種編程語言，通過模塊化設計實現。 1.加載語言模塊：根據配置文件加載相應模塊。 2.應用啟動：調用語言運行時執行應用代碼。 3.請求處理：將請求轉發給應用實例。 4.響應返回：將處理後的響應返回給客戶端。

在Nginx和Apache之間進行選擇：適合您的需求Apr 15, 2025 am 12:04 AM

NGINX和Apache各有優劣，適合不同場景。 1.NGINX適合高並發和低資源消耗場景。 2.Apache適合需要復雜配置和豐富模塊的場景。通過比較它們的核心特性、性能差異和最佳實踐，可以幫助你選擇最適合需求的服務器軟件。

nginx怎麼啟動Apr 14, 2025 pm 01:06 PM

問題：如何啟動 Nginx？答案：安裝 Nginx啟動 Nginx驗證 Nginx 是否已啟動探索其他啟動選項自動啟動 Nginx

怎麼查看nginx是否啟動Apr 14, 2025 pm 01:03 PM

確認 Nginx 是否啟動的方法：1. 使用命令行：systemctl status nginx（Linux/Unix）、netstat -ano | findstr 80（Windows）；2. 檢查端口 80 是否開放；3. 查看系統日誌中 Nginx 啟動消息；4. 使用第三方工具，如 Nagios、Zabbix、Icinga。

nginx怎麼關閉Apr 14, 2025 pm 01:00 PM

要關閉 Nginx 服務，請按以下步驟操作：確定安裝類型：Red Hat/CentOS（systemctl status nginx）或 Debian/Ubuntu（service nginx status）停止服務：Red Hat/CentOS（systemctl stop nginx）或 Debian/Ubuntu（service nginx stop）禁用自動啟動（可選）：Red Hat/CentOS（systemctl disable nginx）或 Debian/Ubuntu（syst

nginx在windows中怎麼配置Apr 14, 2025 pm 12:57 PM

如何在 Windows 中配置 Nginx？安裝 Nginx 並創建虛擬主機配置。修改主配置文件並包含虛擬主機配置。啟動或重新加載 Nginx。測試配置並查看網站。選擇性啟用 SSL 並配置 SSL 證書。選擇性設置防火牆允許 80 和 443 端口流量。

nginx403錯誤怎麼解決Apr 14, 2025 pm 12:54 PM

服務器無權訪問所請求的資源，導致 nginx 403 錯誤。解決方法包括：檢查文件權限。檢查 .htaccess 配置。檢查 nginx 配置。配置 SELinux 權限。檢查防火牆規則。排除其他原因，如瀏覽器問題、服務器故障或其他可能的錯誤。

linux怎麼啟動nginxApr 14, 2025 pm 12:51 PM

在 Linux 中啟動 Nginx 的步驟：檢查 Nginx 是否已安裝。使用 systemctl start nginx 啟動 Nginx 服務。使用 systemctl enable nginx 啟用在系統啟動時自動啟動 Nginx。使用 systemctl status nginx 驗證啟動是否成功。在 Web 瀏覽器中訪問 http://localhost 查看默認歡迎頁面。

See all articles