ちょっとだけ知って置く必要がある設定があるので残しておく。あまり難しくはない。
証明書を更新しておく
CentOSならyum、Debianならapt、その他はいい感じに。
yum install ca-certificate
nginx をビルドする
がんばってください。
SSLを使うことになるので、http_ssl_moduleは入れておく必要がある。
opensslをリンクする場合、新しいものを使うのがおすすめ。
nginx.confを設定する
クライアント証明書が必要な場合は、ちゃんとした証明書と検証用にtrustedな証明書を設定する。
nginx.conf
server {
resolver 8.8.8.8;
listen 8080;
server_name _;
proxy_ssl_protocols TLSv1.2;
proxy_ssl_ciphers HIGH:!aNULL:!MD5;
proxy_ssl_server_name on;
proxy_ssl_name REPLACE_REMOTE_ADDR;
proxy_ssl_password_file /path/to/client_cert_password;
proxy_ssl_certificate /path/to/client_cert_pem_with_password;
proxy_ssl_certificate_key /path/to/client_cert_pem_with_password;
proxy_ssl_trusted_certificate /path/to/ca-bundle.crt;
proxy_set_header Host $host;
proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
proxy_set_header X-Forwarded-Host $host;
proxy_set_header X-Forwarded-Server $host;
proxy_set_header X-Real-IP $remote_addr;
location / {
proxy_pass https://REPLACE_REMOTE_ADDR;
}
}
各設定値について
resolver
外に行く場合の名前解決に使うDNS。IP指定の場合はいらないかもしれない。適切なDNSを指定する。
listen
nginxがlistenするポート
server_name
_ なので何でもマッチする。default_serverにするといい気もする。
proxy_ssl_protocols
proxyで接続する際に使うプロトコル。TLS1.2をサポートしているサーバの場合はこの設定でいい。
proxy_ssl_ciphers
proxyで接続する際に使うcipher。リモート側でサポートしているもので強いものを使う。
proxy_ssl_server_name
SNI対応用。proxy_ssl_nameとセットで使う。
proxy_ssl_name
REPLACE_REMOTE_ADDR を実際に接続する先の名前に置き換える。
リモートサーバにつなぎに行くときの名前を置く。SNIを使っているサーバがぼちぼちあるので指定するのが無難。
proxy_ssl_password_file
プロキシに使うSSL証明書のパスワードファイル。
クライアント証明書がパスワード付きならここにパスワードファイルを設定する。
proxy_ssl_certificate
クライアント証明書を指定する。クライアント証明書が不要ならいらない気もする。
proxy_ssl_certificate_key
クライアント証明書を指定する。クライアント証明書が不要ならいらない気もする。
proxy_ssl_trusted_certificate
証明書の検証に使う信頼された証明書を指定する。
CentOSだと /etc/pki/tls/certs/ とかに置いてあるらしい。
ディストリビューションによって違うのでいい感じに設定するか、curlのをもってきてもいい。
proxy_set_header
いい感じに設定する
終わり
この辺触る人あんまりいなさそうなので地味なハマり方をして消耗する人はいそう。頑張って欲しい。
