Я пытаюсь настроить балансировщик нагрузки через обратный прокси-сервер Nginx. Мое приложение использует клиентские сертификаты для аутентификации клиентов. Я хочу, чтобы обратный прокси-сервер пересылал сертификат клиента на мои внутренние серверы. Я добавил эту строку в конфигурацию моего обратного прокси, чтобы хранить информацию о сертификате клиента в настраиваемом HTTP-заголовке:
proxy_set_header X-SSL-CERT $ssl_client_cert
Тем не мение, $ssl_client_cert использует несколько строк для хранения сертификата, и мой внутренний сервер nginx не распознает это должным образом как один заголовок HTTP. Как лучше всего пересылать мои клиентские сертификаты?
Этот вопрос задавали на этом форуме в 2013 году, но пока нет реального решения: https://forum.nginx.org/read.php?2,236546,236546
Спасибо!
Итак, я нашел решение. Я удаляю все символы новой строки в сертификате и отправляю их как один HTTP-заголовок с прокси на серверную часть, как описано здесь:
https://forum.nginx.org/read.php?2,236546,236546
В моем бэкэнде я реконструирую сертификат, добавляя новую строку каждые 64 символа. Обновленный код обратного прокси выглядит следующим образом и работает до 26 строк:
map $ssl_client_raw_cert $a {
"~^(-.*-\n)(?<st>[^\n]+)\n((?<b>[^\n]+)\n)?((?<c>[^\n]+)\n)?((?<d>[^\n]+)\n)?((?<e>[^\n]+)\n)?((?<f>[^\n]+)\n)?((?<g>[^\n]+)\n)?((?<h>[^\n]+)\n)?((?<i>[^\n]+)\n)?((?<j>[^\n]+)\n)?((?<k>[^\n]+)\n)?((?<l>[^\n]+)\n)?((?<m>[^\n]+)\n)?((?<n>[^\n]+)\n)?((?<o>[^\n]+)\n)?((?<p>[^\n]+)\n)?((?<q>[^\n]+)\n)?((?<r>[^\n]+)\n)?((?<s>[^\n]+)\n)?((?<t>[^\n]+)\n)?((?<v>[^\n]+)\n)?((?<u>[^\n]+)\n)?((?<w>[^\n]+)\n)?((?<x>[^\n]+)\n)?((?<y>[^\n]+)\n)?((?<z>[^\n]+)\n)?(-.*-)$" $st;
}
server {
location / {
proxy_set_header X-cert $a$b$c$d$e$f$g$h$i$j$k$l$m$n$o$p$q$r$s$t$v$u$w$x$y$z;
proxy_pass http://localhost:8000;
}
}
(обратите внимание, что я удалил переменную, начинающуюся с числа) Хотя это решение не идеально, в данный момент оно работает для меня. Другое решение - отправить только информацию DN сертификата, которая представляет собой одну строку. В настоящее время у меня это не работает, поскольку я не сохранил все DN в своей базе данных.
Вот решение LUA, которое сработало для меня:
set_by_lua $client_cert "return ngx.var.ssl_client_raw_cert and ngx.var.ssl_client_raw_cert:gsub('\\n',' ') or nil";
proxy_set_header X-SSL-CERT $client_cert;
Кроме того, если вы используете Ubuntu, nginx-extra по умолчанию имеет плагин LUA, поэтому дополнительная настройка не требуется: https://stackoverflow.com/questions/22193852/running-lua-in-nginx-config
Похоже, что новые версии nginx меняют все \n к \t для вас в переменной $ssl_client_cert. Переменная $ssl_client_raw_cert доступен, если вы не хотите применять это преобразование.
Видеть: http://nginx.org/en/docs/http/ngx_http_ssl_module.html#variables
Я вижу здесь 2 решения: