0

我需要将 SSL 添加到几个 Node.js 服务中,每个服务都在侦听自己的端口,并且 NGINX 将它们映射到我们的公共“api”域。

由于发布了新的安全策略,现在必须强制所有服务仅在 SSL 连接上工作。

由于我不习惯使用 SSL 证书,因此我不清楚在 NGINX 上设置 SSL 并使 NGINX 本身代理传递到 http:// 连接或拥有真正的 node.js 端点有什么好处成为 SSL 服务器和(然后代理传递到 https://)。

我想使用 NGINX 解决方案,我可以重复使用相同的 SSL 证书,将其添加到我们的“api”域中,而每个不同的 SSL 节点服务器都需要不同的证书。然后我不清楚在这样的生产环境中我是否应该使用自签名证书(因为端点是通过其他服务接触的),或者它是否应该是一个 CA 受信任的证书,就像它应该是一个公共域一样。

我在这个考虑中遗漏了什么?

4

1 回答 1

0

我假设 NGINX 是面向公众的,并且 nodejs 服务是内部的(即公共网络用户不能直接访问)。

  1. 只会保护公共网络与 NGINX 之间的连接。NGINX 和 NodeJS 服务之间的传输是内部的,不需要保护。这是一个很大的CPU浪费。

  2. 对于 NGINX,您从有效的证书颁发机构购买证书。对于内部服务,您可以使用自签名(即您自己的内部证书颁发机构生成的证书),但如上所述,您不需要在内部使用 SSL。

于 2013-11-11T08:01:45.270 回答