个人中心
文章发布
退出
作者热门文章
- android - 多次调用 OnPrimaryClipChangedListener
- android - 无法更新 RecyclerView 中的 TextView 字段
- android.database.CursorIndexOutOfBoundsException : Index 0 requested, 光标大小为 0
- android - 使用 AppCompat 时,我们是否需要明确指定其 UI 组件(Spinner、EditText)颜色
25
4
我正在努力使用 nginx 代理到 SSL 上游。我意识到代理到 HTTPS 是浪费,但这是我的设置,有时直接访问 API,其他时候我使用 nginx 来服务 JS 应用程序,它也是 API、CORS 和浏览器安全的客户端要求 JS应用程序与提供应用程序的域相同的域进行通信:
+--------------------+ +---------------------+
| |+-------------------->| |
| Pure HTTP API Host | | CLI Tool API Client |
| |<--------------------+| |
+--------------------+ +---------------------+
| ^ (:3152)
| |
| | | +---------------------+
| +--------------------------------| |
| | | Javascript App |
+---------------------------------->| |
| +---------------------+
|
nginx proxy for CORS
说完这些,下面是堆栈。 API 主机是用 GoLang 编写的,使用来自 StartSSL 的签名证书提供服务:
$ openssl s_client -ssl3 -connect local.api.theproject.io:3251
Secure Renegotiation IS NOT supported
Compression: NONE
Expansion: NONE
SSL-Session:
Protocol : SSLv3
Cipher : AES256-SHA
Session-ID:
Session-ID-ctx:
Master-Key: E021B27717F5A4
Key-Arg : None
Start Time: 1377589306
Timeout : 7200 (sec)
Verify return code: 21 (unable to verify the first certificate)
我已经截断了那个输出,但足以说明 Go 的 ListenAndServeTLS似乎只适用于 SSLv3,因为以下失败:
$ openssl s_client -connect local.api.theproject.io:3251
CONNECTED(00000003)
35899:error:1407742E:SSL routines:SSL23_GET_SERVER_HELLO:tlsv1 alert protocol version:/SourceCache/OpenSSL098/OpenSSL098-47.1/src/ssl/s23_clnt.c:602:
这样nginx出来的问题就很清楚了:
2013/08/27 09:30:21 [error] 35674#0: *3 kevent() reported that connect() failed (61:
Connection refused) while connecting to upstream, client: 127.0.0.1, server:
local.www.theproject.io, request: "GET / HTTP/1.1", upstream: "https://[::1]:3251//",
host: "local.www.theproject.io:4443"
2013/08/27 09:30:21 [error] 35674#0: *3 SSL_do_handshake() failed (SSL: error:1407742
E:SSL routines:SSL23_GET_SERVER_HELLO:tlsv1 alert protocol version) while SSL handshaking
to upstream, client: 127.0.0.1, server: local.www.theproject.io, request: "GET /
HTTP/1.1", upstream: "https://127.0.0.1:3251//", host: "local.www.theproject.io:4443"
(注意:我在这里使用 [::1],但这并不重要,它也会失败,当然在 127.0.0.1)
因此问题是,缺少什么:
proxy_set_header Host $http_host;
proxy_set_header X-Real-IP $remote_addr;
proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
proxy_set_header X-Forwarded-Proto https;
proxy_pass https://local.api.theproject.io:3251/;
为了在内部使用 SSLv3 使其正确代理?
最佳答案
您是否尝试过“ssl_ciphers ALL;”?
虽然不推荐这样做(因为这允许使用弱密码),但这会缩小问题的范围。如果这不起作用,很可能是您使用的 openssl 没有合适的密码来完成与您的 Go 服务器的 SSL 握手。
请注意,Go 的 tls 包仅“部分”实现,并且 supported ciphers非常有限。
有两种解决方法:
openssl 密码 提供的任何内容。到 tls/cipher_suites.go 中的 cipherSuites(我认为)关于ssl - nginx 代理传递给 sslv3 上游,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/18459839/
25
4
0
我正在使用 rebase 主题分支工作流 http://www.golden-gryphon.com/software/misc/packaging.html 但由于本地测试人员和管理员不喜欢一次性发
在我的工作中,我们为我们的一些产品使用了开源软件,并在主线项目提供的功能之上开发了一些额外的特性和功能。开源项目正在积极开发中,我打算将其中一些更改贡献回主线开源项目。 不过,我还添加了一些我们产品所
我正在尝试将 proxy_pass 与 nginx 一起使用,其中与上游服务器的连接是加密的。上游服务器的证书已由 letsencrypt certbot 创建。 # upstream server:
我一直沿着实际河流的路线思考上游和下游,其中信息的流动就像水一样。因此,上游是水/数据的来源(例如 HTTP 请求),下游是水/数据的去向(例如为请求提供服务的底层系统)。 我最近一直在研究 API
我正在努力使用 nginx 代理到 SSL 上游。我意识到代理到 HTTPS 是浪费,但这是我的设置,有时直接访问 API,其他时候我使用 nginx 来服务 JS 应用程序,它也是 API、CORS
我有两个 channel ,上游和下游。我的目标是从上游读取数据并将其传递给下游。但是,当取消上下文时,我希望在没有死锁的情况下正常退出。 我试图变得“聪明”,并做了类似以下的事情。 func mai
我已经在新安装的 cpanel vps 上安装了 nginxadmin。当我尝试登录域时出现 504 超时。这是我的日志和配置。 日志-------------------- 2015/03/06 1
无法理解为什么我的上游/CORS 配置失败。这阻碍了一些本地开发和测试。 从 local.mysite.com:8081 发出 API 请求时,我收到请求的资源上不存在“Access-Control-
我收到这个错误: Error frontend: 502 Bad gateway 99.110.244:443 2017/09/28 13:03:51 [error] 34080#34080: *10
只是一个免责声明:在使用 git 几个月后,我仍然完全不知道我在使用它时在做什么。只有当我严格按照我在网络上的各个页面上找到的说明进行操作时,事情才会奏效。 我想做的是更新我的存储库,它是从另一个项目
我在上游有 1.11.57 标签,我用 master 分支代码推送了它。我正在使用 bitbucket 和 git bash 我 fork 了上面的存储库,并在本地使用 fork 存储库作为我的本地主
我想使用 nginx 作为 websocket 连接的反向代理。 考虑 echo.websocket.org 成为我的后端 websocket 服务。作为测试客户端,我使用 wscat 来自 http
假设您有一个返回 postgresQL 数据库中定义的 json 的函数。 CREATE OR REPLACE FUNCTION test() RETURNS JSON AS $$ SELECT
在 ubuntu 18.04 上,我正在运行 nginx upstream vault { server 127.0.0.1:8001; } server { listen 80;
我有一些关于 nginx 绕过 http 和 https 的问题,在上游 block 中 上游 block : upstream bypass{ server 192.168.99.1:8
我们有一个由大约 10 名开发人员组成的团队,我们经常遇到某人的更改被意外还原的情况。我们的工作流程非常简单。开发人员进行本地提交,从上游 pull ,然后推送到上游(简而言之,这是我们的工作流程,但
我正在开发一个由 3 个微服务组成的应用程序。每个微服务都是一个 Symfony 4 应用程序。 为了将我发出的所有请求路由到此应用程序,我正在使用 Nginx。 目前有三种 url 模式,每个微服务
真正知道这个问题答案的人是那些为 Linux 发行版中包含的程序或库开发的人,这些程序或库依赖于 Linux 发行版中包含的其他库。他们只是告诉我他们在我描述的开发环境方面做了什么会很有帮助。 问题基
我是一名优秀的程序员,十分优秀!