У меня есть сервер с общедоступными поддоменами, а для одного поддомена требуется сертификат на стороне клиента. Мало того, пути в этом поддомене указывают на разные приложения. То есть этот поддомен защищает множество различных веб-приложений от публичной доступности. Каждый из этих доменов имеет свою конфигурацию nginx. вот мой файл конфигурации nginx для приложений, защищенных сертификатом клиента.
map $http_upgrade $connection_upgrade {
default upgrade;
'' close;
}
server {
listen 80;
server_name private.domain.com;
location / {
rewrite ^(.*) https://private.domain.com$1 permanent;
}
}
server {
listen 443;
ssl on;
server_name private.domain.com
### Disable ssl v.3 ###
ssl_protocols TLSv1 TLSv1.1 TLSv1.2;
ssl_session_cache shared:SSL:10m;
### SSL cert files ###
ssl_certificate /srv/ssl/wildcard.domain.com.crt.combined;
ssl_certificate_key /srv/ssl/wildcard.domain.com.key;
ssl_client_certificate /etc/nginx/certs/domain.pem;
ssl_verify_client on;
ssl_ciphers 'ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:DHE-DSS-AES128-GCM-SHA256:kEDH+AESGCM:ECDHE-RSA-AES128-SHA256:ECDHE-ECDSA-AES128-SHA256:ECDHE-RSA-AES128-SHA:ECDHE-ECDSA-AES128-SHA:ECDHE-RSA-AES256-SHA384:ECDHE-ECDSA-AES256-SHA384:ECDHE-RSA-AES256-SHA:ECDHE-ECDSA-AES256-SHA:DHE-RSA-AES128-SHA256:DHE-RSA-AES128-SHA:DHE-DSS-AES128-SHA256:DHE-RSA-AES256-SHA256:DHE-DSS-AES256-SHA:DHE-RSA-AES256-SHA:AES128-GCM-SHA256:AES256-GCM-SHA384:AES128-SHA256:AES256-SHA256:AES128-SHA:AES256-SHA:AES:CAMELLIA:DES-CBC3-SHA:!aNULL:!eNULL:!EXPORT:!DES:!RC4:!MD5:!PSK:!aECDH:!EDH-DSS-DES-CBC3-SHA:!EDH-RSA-DES-CBC3-SHA:!KRB5-DES-CBC3-SHA';
ssl_prefer_server_ciphers on;
ssl_dhparam /srv/ssl/dhparams.pem;
rewrite ^([^.]*[^/])$ $1/ permanent;
include /home/user/labs/current/config/private/*.conf;
}
Затем загружаются правильные файлы nginx по пути, указанному в последней строке этой конфигурации. Таких около 20, и они выглядят так:
location /some/app {
rewrite ^/some/app/?(.*)$ /$1 break;
proxy_pass https://subdomain.anotherDomain.com;
}
Таким образом, к моменту компиляции и запуска nginx существует несколько блоков местоположения в зависимости от указанного пути.
Затем пользователь должен предоставить сертификат клиента, и после аутентификации правильное местоположение возвращается пользователю.
Этот процесс очень медленный, во-первых, сколько времени требуется серверу nginx, чтобы запросить сертификат, а затем сколько времени потребуется, чтобы вернуть страницу.
Любая помощь приветствуется! Ниже показано время загрузки страницы. Это одинаково для всех устройств и сетей. Иногда это занимало более 3 секунд. Посмотри пожалуйста:
