Nginx 역방향 프록시의 SNI 기반 SSL 솔루션

Nginx 역방향 프록시의 SNI 기반 SSL 솔루션

인터넷 기술의 발전으로 웹 애플리케이션의 보안 문제가 점점 더 주목을 받고 있습니다. SSL 인증서는 데이터 전송 보안을 제공하는 암호화 기술로 웹 애플리케이션을 보호하는 중요한 수단 중 하나가 되었습니다. 일부 특별한 경우에는 동일한 서버에 여러 개의 SSL 인증서를 배포해야 합니다. 이때 필요에 따라 SNI 기반 SSL 솔루션이 등장합니다.

1. SNI(서버 이름 표시)란 무엇입니까?

SNI는 클라이언트가 SSL 연결을 설정할 때 "클라이언트 Hello" 메시지에 확장 필드를 포함시켜 클라이언트가 원하는 것을 서버에 알릴 수 있도록 하는 TLS 확장 프로토콜입니다. 연결합니다. 단일 IP 주소 및 포트에서 여러 도메인 이름이 동시에 서로 다른 SSL 인증서를 사용할 수 있습니다.

그러나 SNI는 모든 브라우저와 서버에서 지원되지 않습니다. SNI를 사용하는 경우 클라이언트와 서버가 동일한 SSL 프로토콜 버전을 지원하는지 확인해야 하며 클라이언트는 SNI 확장을 지원해야 합니다. Chrome, Firefox, IE7 이상, Opera 등 현재 일반적으로 사용되는 브라우저는 모두 SNI를 지원합니다.

2. Nginx 역방향 프록시 및 SSL

Nginx는 고성능 웹 서버이며 역방향 프록시를 지원합니다. 역방향 프록시는 다른 서버에 요청을 보내고 요청자에게 응답을 반환하는 정보 보안 기술입니다. 역방향 프록시 서버는 로드 균형 조정 및 SSL 암호화도 활성화합니다.

역방향 프록시 서버는 프런트엔드 웹 서버 및 백엔드와 통신하는 중간 계층 역할을 합니다. Nginx는 http와 https의 두 가지 서비스 모드를 지원합니다. https 서비스를 사용하는 경우 SSL 암호화 및 복호화가 필요합니다.

Nginx의 SSL 지원에는 단일 SSL 인증서 모드와 SNI 기반 다중 인증서 모드의 두 가지 모드가 있습니다. 단일 SSL 인증서 모드에서는 하나의 SSL 인증서만 사용할 수 있습니다. 즉, 다른 SSL 인증서를 다른 도메인 이름에 사용할 수 없습니다. SNI 기반 다중 인증서 모드에서는 다중 도메인 SSL 암호화 전송이 가능합니다.

3. SNI 기반 SSL 솔루션

1. SSL 인증서 생성

먼저 SSL 인증서를 신청하고 해당 인증서 체인과 개인 키를 생성해야 합니다. 여기서는 두 개의 도메인 이름 abc.com 및 xyz.com을 사용하고 각각 두 개의 인증서를 생성한다고 가정합니다.

인증서 생성:

openssl req -newkey rsa:2048 -nodes -keyout abc.com.key -out abc.com.csr
openssl x509 -req -days 365 -in abc.com.csr -signkey abc.com .key -out abc.com.crt

openssl req -newkey rsa:2048 -nodes -keyout xyz.com.key -out xyz.com.csr
openssl x509 -req -days 365 -in xyz.com.csr - signkey xyz.com.key -out xyz.com.crt

인증서 체인 생성:

cat abc.com.crt domain.crt > abc.com-bundle.crt
cat xyz.com.crt domain.crt > ;

ssl_session_timeout 10m;

2. # SSL 인증서 구성
server {

listen 443 ssl;
server_name abc.com;
ssl_certificate /path/to/abc.com-bundle.crt;
ssl_certificate_key /path/to/abc.com.key;

}

server {

listen 443 ssl;
server_name xyz.com;
ssl_certificate /path/to/xyz.com-bundle.crt;
ssl_certificate_key /path/to/xyz.com.key;

}
}
각각 다른 SSL 인증서를 사용하려면 구성 파일에 ssl_certificate 및 ssl_certificate_key를 지정하세요. 동시에 각 도메인 이름에 대해 서버 블록을 구성해야 합니다.

구성 확인

Nginx를 다시 시작한 후 구성이 적용되는지 확인할 수 있습니다. 브라우저에 abc.com 및 xyz.com을 입력하면 브라우저는 TLS 핸드셰이크 단계 중에 SNI 요청을 보내고 해당 SSL 인증서를 반환합니다. 요청이 정상적으로 반환되면 SNI 기반 SSL 솔루션이 적용된 것입니다.

4. 요약

SNI 기반 SSL 솔루션은 동일한 서버에 여러 SSL 인증서를 배포할 수 있으며, 이는 다중 도메인 SSL 암호화를 사용해야 하는 시나리오에 적합합니다. 그러나 SNI는 모든 브라우저와 서버에서 지원되지 않으므로 이를 사용할 때 클라이언트와 서버가 동일한 SSL 프로토콜 버전을 지원하는지 확인해야 하며 클라이언트는 SNI 확장을 지원해야 합니다. 구성 프로세스 중에 각 도메인 이름에 대한 서버 블록을 구성하고 해당 SSL 인증서와 개인 키를 지정해야 합니다.

위 내용은 Nginx 역방향 프록시의 SNI 기반 SSL 솔루션의 상세 내용입니다. 자세한 내용은 PHP 중국어 웹사이트의 기타 관련 기사를 참조하세요!