c# - NancyFX + SSL - 如何让 "this.RequireHttps()"在 Linux 上工作？-6ren

c# - NancyFX + SSL - 如何让 "this.RequireHttps()"在 Linux 上工作？

转载作者：IT王子更新时间：2023-10-29 00:54:45

我的自托管* NancyFX 应用程序使用 SSL，我使用“this.RequiresHttps()”将某些模块标记为“仅限 SSL”。在 Windows 上，我遵循了本教程:

https://github.com/NancyFx/Nancy/wiki/Accessing-the-client-certificate-when-using-SSL

之后:

netsh http add sslcert ipport=0.0.0.0:1234 certhash=303b4adb5aeb17eeac00d8576693a908c01e0b71 appid={00112233-4455-6677-8899-AABBCCDDEEFF} clientcertnegotiation=enable

我使用了以下代码:

public static void Main(string[] args)
{
    List<Uri> uri2 = new List<Uri>();
    uri2.Add(new Uri("http://localhost:80"));
    uri2.Add(new Uri("https://localhost:1234"));

    HostConfiguration hc = new HostConfiguration()
    {
        EnableClientCertificates = true
    };

    using (var host = new NancyHost(hc,uri2.ToArray()))
    {
        host.Start();

        string runningOn = "\n\n";
        foreach(var item in uri2)
        {
            runningOn += item+"\n";
        }

        Console.WriteLine("Your application is running on " + runningOn/*uri2.First()*/);
        Console.WriteLine("Press any [Enter] to close the host.");
        Console.ReadLine();
    }
}

它工作得很好——未加密的数据可以在端口 80 上访问，SSL 在端口 1234 上工作。

问题是 - 我想在我的 Linux 主机上做同样的事情，但我似乎找不到与 Windows“netsh”等效的命令。

现在我按照本教程使用 nginx 来提供 SSL:

https://github.com/NancyFx/Nancy/wiki/Hosting-Nancy-with-Nginx-on-Ubuntu

然后将 nginx 配置修改为以下内容(不要介意路径，这只是我的开发虚拟机):

server {
    listen       80;
    listen       443 ssl;
    ssl_certificate    /home/james/sslCert2/server.crt;
    ssl_certificate_key /home/james/sslCert2/server.key;


    server_name  localhost;
    root /home/james/nancywebpageroot/NancyWebPage.DPL.Services/bin/Debug/;

    location /Content/ {
        alias /home/james/nancywebpageroot/NancyWebPage.DPL.Services/bin/Debug/Content/;
        location ~*  \.(jpg|jpeg|png|gif|ico|css|js|ttf)$ {
            expires 365d;
        }
    }

    location / {
            proxy_pass http://127.0.0.1:8080;
    }       
}

然后修改 Nancy 代码只监听 8080 端口。

虽然上述工作正常(nginx 正在管理 SSL 连接并将请求重定向到端口 8080 上的 Nancy)，但它使“this.RequiresHttps()”变得毫无值(value) - 当我这样使用它时:

this.RequiresHttps(true, 443)

Chrome 报告 ERR_TOO_MANY_REDIRECTS。

所以我的问题是 - 如何/是否有可能在 Linux 上配置 Nancy 以制作“this.RequiresHttps()”？

南希团队的人也可以解释一下“EnableClientCertificates”主机配置选项的作用吗？是否需要启用 SSL？文档相当稀缺...

提前致谢。

*当我以自托管的方式开始项目时，如有必要，可以将其修改为使用 nginx 或任何其他托管形式。

最佳答案

结合:Nancy 团队的帮助、其他一些资源和我空洞的头脑，我终于设法解决了这个问题。

首先 - 错误 ERR_TOO_MANY_REDIRECTS 实际上是我第一篇文章中 nginx 配置的逻辑结果 - 当用户试图访问受 SSL 保护的资源时，Nancy 将他重定向到端口 443，这是正确的行为，然后 nginx 在该端口上收到请求，建立 SSL 连接...并将其发送回端口 8080 上的 Nancy。因为 nginx 总是在不安全的连接上与 Nancy 通信 (http://127.0.0.1:8080) Nancy 没有办法知道正在使用 SSL，因此它再次将请求重定向到端口 443，nginx 再次拾取它，建立 SSL 并将其发送到 http://127.0.0.1:8080 - 这是我们的无限循环。它在 Windows 上运行良好，因为应用程序可以直接访问 http 和 https 端点，并管理它们。

修复相当简单(虽然我花了一些时间才找到它)并且包括两个步骤:

将以下行添加到Nancy Bootstrap 中的RequestStartup 方法:
SSLProxy.RewriteSchemeUsingForwardedHeaders(管道)；

这将使 Nancy 监听 X-Forwarded-Proto header - 当它存在时 - 此方法会将请求 url 方案覆盖为 https - 所以现在:

this.RequireHttps()

将检测到启用 SSL 的请求。

用这样的东西配置 nginx(仍然 - 不要介意路径 - 这只是开发机器):

服务器{ 听80；

server_name  localhost;
root /home/james/nancywebpageroot/NancyWebPage.DPL.Services/bin/Debug/;

location /Content/ {
    alias /home/james/nancywebpageroot/NancyWebPage.DPL.Services/bin/Debug/Content/;
    location ~*  \.(jpg|jpeg|png|gif|ico|css|js|ttf)$ {
        expires 365d;
    }
}

location / {
proxy_pass http://127.0.0.1:8080;
}

服务器{ 听 443 SSL； ssl_certificate/home/james/sslCert2/server.crt; ssl_certificate_key/home/james/sslCert2/server.key;

server_name  localhost;
root /home/james/nancywebpageroot/NancyWebPage.DPL.Services/bin/Debug/;

location /Content/ {
    alias /home/james/nancywebpageroot/NancyWebPage.DPL.Services/bin/Debug/Content/;
    location ~*  \.(jpg|jpeg|png|gif|ico|css|js|ttf)$ {
        expires 365d;
    }
}

location / {
proxy_pass http://127.0.0.1:8080;
proxy_set_header Host $host;
proxy_set_header X-Real-IP $remote_addr;
proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
proxy_set_header X-Forwarded-Proto $scheme;
}