我正在尝试配置一个子域以将请求代理到我无法控制的其他服务器。一位朋友运行该服务器,他使用自己的 CA 来避免为 ssl 证书付费。我尝试将我的配置代理到我自己的一个子域,运行有效的 ssl 证书,它运行良好,但是一旦我代理他和他的“无效”ssl 证书,nginx 就会不断询问我的凭据。
这是我的配置:
server
{
listen [::]:443 ssl spdy;
listen 443 ssl;
server_name subdomain.mydomain.tld;
ssl_prefer_server_ciphers on;
ssl_protocols TLSv1 TLSv1.1 TLSv1.2;
ssl_ciphers 'ECDHE-RSA-AES256-GCM-SHA384:ECDHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-SHA384:ECDHE-RSA-AES128-SHA256:ECDHE-RSA-AES256-SHA:ECDHE-RSA-AES128-SHA:DHE-RSA-AES256-SHA256:DHE-RSA-AES128-SHA256:DHE-RSA-AES256-SHA:DHE-RSA-AES128-SHA:ECDHE-RSA-DES-CBC3-SHA:EDH-RSA-DES-CBC3-SHA:AES256-GCM-SHA384:AES128-GCM-SHA256:AES256-SHA256:AES128-SHA256:AES256-SHA:AES128-SHA:DES-CBC3-SHA:HIGH:!aNULL:!eNULL:!EXPORT:!CAMELLIA:!DES:!MD5:!PSK:RC4';
ssl_session_cache shared:SSL:10m;
ssl_dhparam /etc/ssl/certs/dhparam.pem;
ssl_session_timeout 5m;
ssl_certificate /etc/ssl/mydomain.crt;
ssl_certificate_key /etc/ssl/mydomain.key;
ssl_stapling on;
ssl_stapling_verify on;
ssl_trusted_certificate /etc/ssl/startssl.pem;
add_header Strict-Transport-Security max-age=63072000;
root /path/;
location /
{
index /_h5ai/server/php/index.php;
auth_basic "mydomain";
auth_basic_user_file auth_file;
}
location /friend/
{
rewrite ^/friend/(.*) /$1 break;
proxy_set_header Authorization "Basic base64_encoded";
proxy_pass https://subdomain.friend.tld:443/blah/;
}
location ~ .php$
{
fastcgi_pass 127.0.0.1:4242;
include fastcgi.conf;
fastcgi_read_timeout 3600;
}
}
我在日志中没有任何错误。我可以浏览/friend之外的所有内容,它可以很好地进行身份验证,但是一旦我进入/friend,身份验证就会一直弹出,就像我输入了错误的密码一样。我知道我的 base64 编码是有效的,我通过在我的一个子域上复制相同的身份验证对其进行了测试,它运行良好,所以我能想到的唯一解释是 nginx 不喜欢他的证书。
是否有一些我会错过的配置让我信任他的 CA?或者只是为了禁用验证,数据根本不合理,即使通过http也可以,但他不想在他的服务器上配置它。所以禁用验证对我来说是一个足够好的解决方案。
谢谢