Nginx 代理通过证书向 MS IIS 进行身份验证
Nginx Proxy pass certificate autentificate to MS IIS
Nginx 1.9.5 (linux Centos7)--> MS IIS 8.5
所以我尝试使用 nginx 作为 IIS 的客户端反向代理,其中需要在 IIS 级别进行客户端证书身份验证。
nginx:443->>IIS:443+客户端证书认证。
示例位置代理传递
这里还有我尝试的注释命令。
location ^~ /test/ {
#proxy_buffering off;
#proxy_http_version 1.0;
#proxy_request_buffering off;
#proxy_set_header Connection "Keep-Alive";
#proxy_set_header X-SSL-CERT $ssl_client_cert;
# proxy_ssl_name domain.lv;
#proxy_ssl_trusted_certificate /etc/nginx/ssl/root/CA.pem;
#proxy_ssl_verify_depth 2;
proxy_set_header HOST domain.com;
proxy_ssl_certificate /etc/nginx/ssl/test.pem;
proxy_ssl_certificate_key /etc/nginx/ssl/test_key.pem;
proxy_ssl_verify off;
proxy_pass https://10.2.4.101/;
}
IIS 简单。
- 创建新网站。
- 在受信任的根中导入 CA 证书。
- 需要设置 ssl 证书。
测试我得到了什么:
- 直接浏览器到需要 IIS 客户端证书--有效。
- 需要 Nginx 到其他 nginx 客户端证书——有效。
- Nginx 到 IIS 客户端证书忽略--有效
- 需要或接受 Nginx 到 IIS 客户端证书 - 无效
错误:
Nginx 端:
*4622 upstream timed out (110: Connection timed out) while reading response header 从上游
IIS端:
500 0 64 119971
所以我希望有人知道为什么?
编辑
1. 也尝试从不同的服务器使用 nginx 1.8 没有任何帮助..
proxy_ssl_verify off;
proxy_ssl_certificate /etc/nginx/ssl/test/test.pem;
proxy_ssl_certificate_key /etc/nginx/ssl/test/test_key.pem;
proxy_pass https://domain.com;
2.Try 与 apache 2.4 相同,都适用于
SSLProxyEngine On
SSLProxyVerify none
SSLProxyCheckPeerCN off
SSLProxyCheckPeerName off
SSLProxyCheckPeerExpire off
SSLProxyMachineCertificateFile /etc/httpd/ssl/test.pem
ProxyPass "/test" "https://domain.com"
也许 nginx 中的 ssl 重新协商???
您对 TLS 重新协商的预感是正确的。 Nginx 自版本 0.8.23 以来不允许 TLS 重新协商(请参阅 http://nginx.org/en/CHANGES)。但是,默认情况下,IIS 将在请求客户端证书时使用 TLS 重新协商。 (我一直没能找到原因-如果有人能启发我,我将不胜感激!)
您可以使用 wireshark 等数据包嗅探器来查看实际效果:
- IIS 和 Nginx 首先仅使用服务器证书执行 TLS 握手。
- Nginx 请求资源。
- 该资源需要客户端身份验证,因此IIS 向Nginx 发送'Hello Request' 消息以启动TLS 重新协商。
- Nginx 不响应 Hello 请求,因为 TLS 重新协商已被禁用。
- IIS 然后关闭连接,因为它没有收到响应。 (请参阅 https://technet.microsoft.com/en-us/library/cc783349(v=ws.10).aspx 中关于重新谈判的部分)
要解决此问题,您必须强制 IIS 在初始 TLS 握手时请求客户端证书。您可以使用 powershell 中的 netsh 实用程序或命令行执行此操作:
- 使用管理员权限打开 powershell 提示符。
- 输入
netsh
- 输入
http
- 输入
show sslcert。您应该会在您的计算机上看到所有当前 SSL 绑定的列表:
- 记下要为其启用客户端证书协商的证书的 IP:port 和证书哈希。我们现在要删除此绑定并 re-add 它与协商客户端证书 属性 设置为启用。在此示例中,IP:port 为 0.0.0.0:44300,证书哈希为 71472159d7233d56bc90cea6d0c26f7a29db1112.
- 输入
delete sslcert ipport=[IP:port from above]
- 输入
add sslcert ipport=[IP:port from above] certhash=[certificate hash from above] appid={[any random GUID (can be the same one from the show sslcert output)]} certstorename=MY verifyclientcertrevocation=enable verifyrevocationwithcachedclientcertonly=disable clientcertnegotiation=enable
- 您现在可以再次确认 运行ning
show sslcert 是否有效。您应该看到几乎相同的输出,但协商客户端证书设置为已启用:
请注意,此方法仅适用于单个证书 - 如果您需要更改或更新证书,则必须再次 运行 这些步骤。当然,您应该将它们包装在批处理脚本或 MSI 安装程序自定义操作中,以便于部署和维护。
Nginx 1.9.5 (linux Centos7)--> MS IIS 8.5 所以我尝试使用 nginx 作为 IIS 的客户端反向代理,其中需要在 IIS 级别进行客户端证书身份验证。 nginx:443->>IIS:443+客户端证书认证。
示例位置代理传递 这里还有我尝试的注释命令。
location ^~ /test/ {
#proxy_buffering off;
#proxy_http_version 1.0;
#proxy_request_buffering off;
#proxy_set_header Connection "Keep-Alive";
#proxy_set_header X-SSL-CERT $ssl_client_cert;
# proxy_ssl_name domain.lv;
#proxy_ssl_trusted_certificate /etc/nginx/ssl/root/CA.pem;
#proxy_ssl_verify_depth 2;
proxy_set_header HOST domain.com;
proxy_ssl_certificate /etc/nginx/ssl/test.pem;
proxy_ssl_certificate_key /etc/nginx/ssl/test_key.pem;
proxy_ssl_verify off;
proxy_pass https://10.2.4.101/;
}
IIS 简单。
- 创建新网站。
- 在受信任的根中导入 CA 证书。
- 需要设置 ssl 证书。
测试我得到了什么:
- 直接浏览器到需要 IIS 客户端证书--有效。
- 需要 Nginx 到其他 nginx 客户端证书——有效。
- Nginx 到 IIS 客户端证书忽略--有效
- 需要或接受 Nginx 到 IIS 客户端证书 - 无效
错误: Nginx 端: *4622 upstream timed out (110: Connection timed out) while reading response header 从上游 IIS端: 500 0 64 119971
所以我希望有人知道为什么?
编辑 1. 也尝试从不同的服务器使用 nginx 1.8 没有任何帮助..
proxy_ssl_verify off;
proxy_ssl_certificate /etc/nginx/ssl/test/test.pem;
proxy_ssl_certificate_key /etc/nginx/ssl/test/test_key.pem;
proxy_pass https://domain.com;
2.Try 与 apache 2.4 相同,都适用于
SSLProxyEngine On
SSLProxyVerify none
SSLProxyCheckPeerCN off
SSLProxyCheckPeerName off
SSLProxyCheckPeerExpire off
SSLProxyMachineCertificateFile /etc/httpd/ssl/test.pem
ProxyPass "/test" "https://domain.com"
也许 nginx 中的 ssl 重新协商???
您对 TLS 重新协商的预感是正确的。 Nginx 自版本 0.8.23 以来不允许 TLS 重新协商(请参阅 http://nginx.org/en/CHANGES)。但是,默认情况下,IIS 将在请求客户端证书时使用 TLS 重新协商。 (我一直没能找到原因-如果有人能启发我,我将不胜感激!)
您可以使用 wireshark 等数据包嗅探器来查看实际效果:
- IIS 和 Nginx 首先仅使用服务器证书执行 TLS 握手。
- Nginx 请求资源。
- 该资源需要客户端身份验证,因此IIS 向Nginx 发送'Hello Request' 消息以启动TLS 重新协商。
- Nginx 不响应 Hello 请求,因为 TLS 重新协商已被禁用。
- IIS 然后关闭连接,因为它没有收到响应。 (请参阅 https://technet.microsoft.com/en-us/library/cc783349(v=ws.10).aspx 中关于重新谈判的部分)
要解决此问题,您必须强制 IIS 在初始 TLS 握手时请求客户端证书。您可以使用 powershell 中的 netsh 实用程序或命令行执行此操作:
- 使用管理员权限打开 powershell 提示符。
- 输入
netsh - 输入
http - 输入
show sslcert。您应该会在您的计算机上看到所有当前 SSL 绑定的列表:
- 记下要为其启用客户端证书协商的证书的 IP:port 和证书哈希。我们现在要删除此绑定并 re-add 它与协商客户端证书 属性 设置为启用。在此示例中,IP:port 为 0.0.0.0:44300,证书哈希为 71472159d7233d56bc90cea6d0c26f7a29db1112.
- 输入
delete sslcert ipport=[IP:port from above] - 输入
add sslcert ipport=[IP:port from above] certhash=[certificate hash from above] appid={[any random GUID (can be the same one from the show sslcert output)]} certstorename=MY verifyclientcertrevocation=enable verifyrevocationwithcachedclientcertonly=disable clientcertnegotiation=enable - 您现在可以再次确认 运行ning
show sslcert是否有效。您应该看到几乎相同的输出,但协商客户端证书设置为已启用:
请注意,此方法仅适用于单个证书 - 如果您需要更改或更新证书,则必须再次 运行 这些步骤。当然,您应该将它们包装在批处理脚本或 MSI 安装程序自定义操作中,以便于部署和维护。