两层NGINX反向代理,第二层上带有ssl\u client\u verify
我正在研究的项目是一个部署在Kubernetes集群上的应用程序,它使用智能卡PKI方案进行身份验证。该集群在多个应用程序之间共享,并且并非所有这些应用程序都需要(甚至不应该)对PKI进行客户端证书验证。因此,我们使用helm图表来处理进入集群的情况,然后指向第二个反向代理,代理应用程序服务(web应用程序、api服务器等)。两个代理都有SSL证书 最初,我们使用Ingress注释并将CA证书装载到Ingress nginx部署中,以处理客户端证书验证,但现在我们尝试在第二个代理上处理所有证书验证,以便对其进行更多控制。Ingress nginx是一个很棒的工具,但它抽象了很多服务器配置 目前,我看到的问题是第一个代理(ingress nginx)正在接收请求并将它们正确地代理到第二个代理。但是,由于ingress nginx没有两层NGINX反向代理,第二层上带有ssl\u client\u verify,nginx,ssl,nginx-reverse-proxy,nginx-ingress,Nginx,Ssl,Nginx Reverse Proxy,Nginx Ingress,我正在研究的项目是一个部署在Kubernetes集群上的应用程序,它使用智能卡PKI方案进行身份验证。该集群在多个应用程序之间共享,并且并非所有这些应用程序都需要(甚至不应该)对PKI进行客户端证书验证。因此,我们使用helm图表来处理进入集群的情况,然后指向第二个反向代理,代理应用程序服务(web应用程序、api服务器等)。两个代理都有SSL证书 最初,我们使用Ingress注释并将CA证书装载到Ingress nginx部署中,以处理客户端证书验证,但现在我们尝试在第二个代理上处理所有证书验
ssl\u client\u verify
指令,因此它不会请求客户端的证书。当请求到达第二个代理(它确实有ssl\u client\u verify
)时,该代理只返回一个400,并表示客户端从未发送过证书(它没有)
我如何告诉第二个代理从第一个代理请求证书,以使第一个代理从用户请求证书?或者如果有一个更简单的解决方案,我也愿意接受
ingress nginx控制器的ingress对象如下所示:(主机名中填充了kustomize)
apiVersion:networking.k8s.io/v1beta1
种类:入口
元数据:
姓名:代理
名称空间:web
注释:
kubernetes.io/ingres.class:nginx
cert-manager.io/issuer:cert-issuer
nginx.ingres.kubernetes.io/force-ssl-redirect:“true”
nginx.ingres.kubernetes.io/backend-protocol:“HTTPS”
规格:
tls:
-主持人:
-占位符网站
secretName:web证书
规则:
-主持人:placeholder.com
http:
路径:
-后端:
服务名称:代理
服务端口:443
路径:/
我为第二个代理使用的服务器配置如下所示:(环境变量在容器启动时替换为代理映像)
我如何告诉第二个代理从第一个代理请求证书,以使第一个代理从用户请求证书
这是不可能的。无法在第一个代理上终止TLS连接,同时在TLS级别通过客户端证书。此外,在与第二个代理进行TLS握手之前,第一个代理上的TLS握手已完成,例如,无法让第二个代理发出客户证书要求的信号。好的,谢谢您的回复。我担心可能是这样。在这种情况下,我将放弃第二个代理,在入口控制器上设置一个更复杂的配置。
# nginx.conf
user nginx;
worker_processes auto;
error_log /var/log/nginx/error.log warn;
pid /var/run/nginx.pid;
events {
worker_connections 1024;
}
http {
include /etc/nginx/mime.types;
default_type application/octet-stream;
log_format main '$remote_addr - $remote_user [$time_local] "$request" '
'$status $body_bytes_sent "$http_referer" '
'"$http_user_agent" "$http_x_forwarded_for"';
access_log /var/log/nginx/access.log main;
sendfile on;
keepalive_timeout 65;
include /etc/nginx/conf.d/default.conf;
client_max_body_size 0;
}
# default.conf
server {
listen 443 ssl http2 default_server;
listen [::]:443 ssl http2 default_server;
server_name ${PROXY_DOMAIN} www.${PROXY_DOMAIN};
ssl_certificate /etc/nginx/certs/certificate.pem;
ssl_certificate_key /etc/nginx/certs/key.pem;
ssl_protocols TLSv1.2 TLSv1.3;
ssl_ciphers HIGH:!aNULL:!MD5;
ssl_prefer_server_ciphers on;
ssl_verify_client on;
ssl_verify_depth 4;
ssl_client_certificate /etc/nginx/certs/DoDRoots.crt;
# Inform the proxyed app which user had connected to this TLS endpoint
add_header X-Client-Verified $ssl_client_verify;
add_header X-CLient-Certificate $ssl_client_escaped_cert;
include /etc/nginx/conf.d/shared_locations.conf;
}
server {
listen 80;
server_name ${PROXY_DOMAIN} www.${PROXY_DOMAIN};
return 301 https://$server_name$request_uri;
}
# shared_locations.conf
location / {
proxy_pass http://${DOMAIN_FRONT}:${PORT_FRONT}/;
proxy_set_header Host $host;
proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
}
location /api/ {
proxy_pass http://${DOMAIN_BACK}:${PORT_BACK}/api/;
proxy_set_header Host $host;
proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
}