authentication - Nginx 代理通过证书向 MS IIS 进行身份验证

Question

Nginx 1.9.5 (linux Centos7)--> MS IIS 8.5所以我尝试使用 nginx 作为 IIS 的客户端反向代理，其中需要在 IIS 级别进行客户端证书身份验证。nginx:443->>IIS:443+客户端证书认证。

示例位置代理传递这里还有我尝试过的注释命令。

location ^~ /test/ {
#proxy_buffering off;
#proxy_http_version 1.0;
#proxy_request_buffering off;
#proxy_set_header Connection "Keep-Alive";
#proxy_set_header X-SSL-CERT $ssl_client_cert;
# proxy_ssl_name domain.lv;
#proxy_ssl_trusted_certificate /etc/nginx/ssl/root/CA.pem;
#proxy_ssl_verify_depth 2;

proxy_set_header HOST domain.com;
proxy_ssl_certificate /etc/nginx/ssl/test.pem;
proxy_ssl_certificate_key /etc/nginx/ssl/test_key.pem;
proxy_ssl_verify off;
proxy_pass https://10.2.4.101/;

 }

IIS 简单。

1. 创建新网站。
2. 在受信任的根中导入 CA 证书。
3. 设置需要的 ssl 证书。

测试我得到了什么:

1. 直接通过浏览器访问 IIS 客户端证书——有效。
2. 需要 Nginx 到其他 nginx 客户端证书——有效。
3. Nginx 到 IIS 客户端证书忽略——有效
4. 需要或接受 Nginx 到 IIS 客户端证书 - 无效

错误:Nginx 端:*4622 upstream timed out (110: Connection timed out) while reading response header 从上游IIS端:500 0 64 119971

所以我希望有人能知道为什么？

编辑1. 也尝试从不同的服务器使用 nginx 1.8 没有任何帮助..

proxy_ssl_verify off;
proxy_ssl_certificate /etc/nginx/ssl/test/test.pem;
proxy_ssl_certificate_key /etc/nginx/ssl/test/test_key.pem;
proxy_pass https://domain.com;

2.尝试与 apache 2.4 相同的所有工作

SSLProxyEngine On
SSLProxyVerify none
SSLProxyCheckPeerCN off
SSLProxyCheckPeerName off
SSLProxyCheckPeerExpire off
SSLProxyMachineCertificateFile /etc/httpd/ssl/test.pem
ProxyPass "/test" "https://domain.com"

也许是 nginx 中的 ssl 重新协商？？？

Answer 1

您对 TLS 重新协商的预感是正确的。 Nginx 自版本 0.8.23 以来不允许 TLS 重新协商(请参阅 http://nginx.org/en/CHANGES )。但是，默认情况下，IIS 将在请求客户端证书时使用 TLS 重新协商。 (我一直没能找到原因-如果有人能启发我，我将不胜感激!)

您可以使用数据包嗅探器(例如 wireshark)来查看实际情况:

1. IIS 和 Nginx 首先仅使用服务器证书执行 TLS 握手。
2. Nginx 请求资源。
3. 资源需要客户端身份验证，因此 IIS 向 Nginx 发送“Hello Request”消息以启动 TLS 重新协商。
4. Nginx 不响应 Hello 请求，因为 TLS 重新协商已被禁用。
5. IIS 然后关闭连接，因为它没有得到响应。 (请参阅 https://technet.microsoft.com/en-us/library/cc783349(v=ws.10).aspx 中关于重新协商的部分)

要解决此问题，您必须强制 IIS 在初始 TLS 握手时请求客户端证书。您可以使用 powershell 中的 netsh 实用程序或命令行执行此操作:

1. 使用管理员权限打开 powershell 提示符。
2. 输入netsh
3. 输入http
4. 输入 show sslcert。您应该会在您的计算机上看到所有当前 SSL 绑定(bind)的列表:

1. 记下您要为其启用客户端证书协商的证书的 IP:端口和证书哈希。我们现在要删除此绑定(bind)并重新添加它，并将协商客户端证书属性设置为启用。在此示例中，IP:端口为 0.0.0.0:44300，证书哈希为 71472159d7233d56bc90cea6d0c26f7a29db1112。
2. 输入 delete sslcert ipport=[IP:port from above]
3. 输入 add sslcert ipport=[IP:port from above] certhash=[certificate hash from above] appid={[any random GUID (can be the same one from the show sslcert output)]} certstorename=MY verifyclientcertrevocation=启用verifyrevocationwithcachedclientcertonly=禁用clientcertnegotiation=启用
4. 您现在可以通过再次运行 show sslcert 来确认这是否有效。您应该看到几乎相同的输出，但协商客户端证书设置为已启用:

请注意，此方法仅适用于单个证书 - 如果您需要更改或更新证书，则必须再次运行这些步骤。当然，您应该将它们包装在批处理脚本或 MSI 安装程序自定义操作中，以便于部署和维护。