两层NGINX反向代理，第二层上带有ssl\u client\u verify_Nginx_Ssl_Nginx Reverse Proxy_Nginx Ingress

两层NGINX反向代理，第二层上带有ssl\u client\u verify

nginx ssl

两层NGINX反向代理，第二层上带有ssl\u client\u verify,nginx,ssl,nginx-reverse-proxy,nginx-ingress,Nginx,Ssl,Nginx Reverse Proxy,Nginx Ingress,我正在研究的项目是一个部署在Kubernetes集群上的应用程序，它使用智能卡PKI方案进行身份验证。该集群在多个应用程序之间共享，并且并非所有这些应用程序都需要（甚至不应该）对PKI进行客户端证书验证。因此，我们使用helm图表来处理进入集群的情况，然后指向第二个反向代理，代理应用程序服务（web应用程序、api服务器等）。两个代理都有SSL证书最初，我们使用Ingress注释并将CA证书装载到Ingress nginx部署中，以处理客户端证书验证，但现在我们尝试在第二个代理上处理所有证书验

我正在研究的项目是一个部署在Kubernetes集群上的应用程序，它使用智能卡PKI方案进行身份验证。该集群在多个应用程序之间共享，并且并非所有这些应用程序都需要（甚至不应该）对PKI进行客户端证书验证。因此，我们使用helm图表来处理进入集群的情况，然后指向第二个反向代理，代理应用程序服务（web应用程序、api服务器等）。两个代理都有SSL证书

最初，我们使用Ingress注释并将CA证书装载到Ingress nginx部署中，以处理客户端证书验证，但现在我们尝试在第二个代理上处理所有证书验证，以便对其进行更多控制。Ingress nginx是一个很棒的工具，但它抽象了很多服务器配置

目前，我看到的问题是第一个代理（ingress nginx）正在接收请求并将它们正确地代理到第二个代理。但是，由于ingress nginx没有

ssl\u client\u verify

指令，因此它不会请求客户端的证书。当请求到达第二个代理（它确实有

ssl\u client\u verify

）时，该代理只返回一个400，并表示客户端从未发送过证书（它没有）

我如何告诉第二个代理从第一个代理请求证书，以使第一个代理从用户请求证书？或者如果有一个更简单的解决方案，我也愿意接受

ingress nginx控制器的ingress对象如下所示：（主机名中填充了kustomize）

apiVersion:networking.k8s.io/v1beta1 种类：入口元数据：姓名：代理名称空间：web 注释： kubernetes.io/ingres.class:nginx cert-manager.io/issuer:cert-issuer nginx.ingres.kubernetes.io/force-ssl-redirect：“true” nginx.ingres.kubernetes.io/backend-protocol:“HTTPS” 规格： tls： -主持人： -占位符网站 secretName:web证书规则： -主持人：placeholder.com http: 路径： -后端：服务名称：代理服务端口：443 路径：/ 我为第二个代理使用的服务器配置如下所示：（环境变量在容器启动时替换为代理映像）

我如何告诉第二个代理从第一个代理请求证书，以使第一个代理从用户请求证书

这是不可能的。无法在第一个代理上终止TLS连接，同时在TLS级别通过客户端证书。此外，在与第二个代理进行TLS握手之前，第一个代理上的TLS握手已完成，例如，无法让第二个代理发出客户证书要求的信号。

好的，谢谢您的回复。我担心可能是这样。在这种情况下，我将放弃第二个代理，在入口控制器上设置一个更复杂的配置。

# nginx.conf
user nginx;
worker_processes auto;

error_log /var/log/nginx/error.log warn;
pid /var/run/nginx.pid;

events {
    worker_connections 1024;
}

http {
    include /etc/nginx/mime.types;
    default_type application/octet-stream;

    log_format main '$remote_addr - $remote_user [$time_local] "$request" '
        '$status $body_bytes_sent "$http_referer" '
        '"$http_user_agent" "$http_x_forwarded_for"';

    access_log /var/log/nginx/access.log main;

    sendfile on;

    keepalive_timeout 65;

    include /etc/nginx/conf.d/default.conf;

    client_max_body_size 0;
}

# default.conf
server {
    listen 443 ssl http2 default_server;
    listen [::]:443 ssl http2 default_server;
    server_name ${PROXY_DOMAIN} www.${PROXY_DOMAIN};

    ssl_certificate /etc/nginx/certs/certificate.pem;
    ssl_certificate_key /etc/nginx/certs/key.pem;
    ssl_protocols TLSv1.2 TLSv1.3;
    ssl_ciphers HIGH:!aNULL:!MD5;
    ssl_prefer_server_ciphers on;

    ssl_verify_client on;
    ssl_verify_depth 4;
    ssl_client_certificate /etc/nginx/certs/DoDRoots.crt;

    # Inform the proxyed app which user had connected to this TLS endpoint
    add_header X-Client-Verified $ssl_client_verify;
    add_header X-CLient-Certificate $ssl_client_escaped_cert;

    include /etc/nginx/conf.d/shared_locations.conf;
}

server {
    listen 80;
    server_name ${PROXY_DOMAIN} www.${PROXY_DOMAIN};
    return 301 https://$server_name$request_uri;
}

# shared_locations.conf
location / {
    proxy_pass http://${DOMAIN_FRONT}:${PORT_FRONT}/;
    proxy_set_header Host $host;
    proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
}

location /api/ {
    proxy_pass http://${DOMAIN_BACK}:${PORT_BACK}/api/;
    proxy_set_header Host $host;
    proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
}