Добавление SSL шифрования для не SSL сайта силами nginx |
[исправить] |
Ниже представлен пример настройки SSL-акселератора, выполненного средствами http-сервера nginx.
Предположим, что нужно проксировать сайт testhost.ru, размещенный на сервере 192.168.1.1.
Следующий блок конфигурации определяет работу SSL-акселератора:
server {
listen 192.168.1.1:443;
server_name testhost.ru;
access_log logs/ssl.log main;
ssl on;
ssl_certificate /certs/ssl.crt;
ssl_certificate_key /keys/ssl.key;
location / {
proxy_set_header X-Real-IP $remote_addr;
proxy_set_header X-Forwarded-For $p roxy_add_x_forwarded_for;
proxy_set_header Host $http_host;
proxy_set_header X-FORWARDED_PROTO https;
proxy_redirect false;
proxy_pass http://main_site;
}
}
В http секции конфигурации определяем сервер который будем проксировать:
upstream main_site {
server 192.168.1.1:8080;
}
При желании можно ограничить разрешенный тип шифрования:
ssl_ciphers HIGH:!ADH;
ssl_perfer_server_ciphers on;
ssl_protocols SSLv3;
Также можно включить gzip сжатие проксируемого трафика, для этого в
http секции добавляем:
gzip on;
gzip_min_length 1100;
gzip_buffers 4 8k;
gzip_types text/plain text/html text/css text/js;
|
|
|
|
Раздел: Корень / Безопасность / Шифрование, PGP |
1.1, Pilat (ok), 01:00, 20/04/2009 [ответить]
| +/– |
Ну просто поразительно. Теперь что, выдержки из мануалов считаются новостью?
| |
|
2.2, visokos (?), 01:55, 20/04/2009 [^] [^^] [^^^] [ответить]
| +/– |
Новостью считаются не выдержки из мануалов, а "Добавление SSL шифрования для не SSL сайта"! Не все используют nginx, соответственно не все читали мануал...
| |
|
1.3, gara (??), 11:16, 20/04/2009 [ответить]
| +/– |
"Добавление SSL шифрования для не SSL сайта" :) добавление бекенда для не бекенд сайта с использованием nginx :))
| |
1.5, kukulkan (??), 23:42, 22/04/2009 [ответить]
| +/– |
Moodle например до сих пор не умеет работать при таком проксировании.
| |
1.7, George Abramov (?), 14:15, 02/06/2010 [ответить]
| +/– |
мне кажется, SSL траффик откидывать на другой порт проще при помощи stunnel. И не надо никакой nginx устанавливать.
Слушаем на 443 порту и откидываем весь приходящий траффик на 80 пойрт апачу.
| |
|