NGINX SSL リバース プロキシ アップストリーム SSL の検証

tag-icon tag-icon ubuntu nginx ssl reverse-proxy lets-encrypt
NGINX SSL リバース プロキシ アップストリーム SSL の検証

1 つの IP アドレスのみを使用して複数の Web サイトをホストするために、NGINX をリバース プロキシとしてセットアップしています。プロキシには Lets Encrypt 証明書があり、アップストリーム サーバーには別の Lets Encrypt 証明書があります。基本的に、NGINX がトラフィックをアップストリーム サーバーに転送し、アップストリーム サーバーに有効な TLS 証明書があることを確認する必要があります。 を無効にするとproxy_ssl_verify、機能します。https://app.local.example.com内部ネットワークにアクセスすると、アプリは正常に機能します。

ネットワーク図:

https://app.example.com --> NGINX Reverse Proxy --> https://app.local.example.com (Local IP Address)

NGINX リバース プロキシ構成ファイル:

server {
    listen 80;
    rewrite ^ https://$host$request_uri? permanent;
}

server {
        server_name app.example.com;

        listen                                  443 ssl;

        ssl_certificate                         /etc/letsencrypt/live/app.example.com/cert.pem;
        ssl_certificate_key                     /etc/letsencrypt/live/app.example.com/privkey.pem;
        ssl_trusted_certificate                 /etc/letsencrypt/live/app.example.com/chain.pem;

        location / {

                proxy_redirect off;
                proxy_set_header Host $http_host;
                proxy_set_header X-Real-IP $remote_addr;
                proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
                proxy_set_header X-Forwarded-Ssl on;
                proxy_set_header X-Forwarded-Protocol $scheme;
                proxy_set_header X-Forwarded-HTTPS on;

                proxy_ssl_session_reuse        off;
                proxy_ssl_name                 app.local.example.com

                proxy_ssl_verify               on;
                proxy_ssl_verify_depth         2; # I've tried 1,2,3,4
                proxy_ssl_trusted_certificate /etc/ssl/certs/ca-certificates.crt; 
                            
                proxy_pass                     https://app.local.example.com
        }
}

表示されるエラーメッセージは次のとおりです。

[error] 1087#1087: *2 upstream SSL certificate verify error: (20:unable to get local issuer certificate) while SSL handshaking to upstream, client: [Client IP], server: app.example.com, request: "GET / HTTP/1.1", upstream: "https://192.168.1.5:443/", host: "app.local.example.com", referrer: "https://app.example.com/">

OpenSSL バージョン:OpenSSL 1.1.1f 31 Mar 2020

nginx -v:nginx version: nginx/1.18.0 (Ubuntu)

cat /etc/issue:Ubuntu 20.04.1 LTS \n \l

出力openssl s_client -connect app.local.example.com:443

CONNECTED(00000003)
depth=0 CN = app.local.example.com
verify error:num=20:unable to get local issuer certificate
verify return:1
depth=0 CN = app.local.example.com
verify error:num=21:unable to verify the first certificate
verify return:1
---
Certificate chain
 0 s:CN = app.local.example.com
   i:C = US, O = Let's Encrypt, CN = Let's Encrypt Authority X3
---
Server certificate
-----BEGIN CERTIFICATE-----
MIIFeDCCBGCgAwIBAgISA8NkbZ6wz2EnKcedXujKT9AmMA0GCSqGSIb3DQEBCwUA
...
-----END CERTIFICATE-----
...
SSL-Session:
    Protocol  : TLSv1.3
    ...
    Verify return code: 21 (unable to verify the first certificate)

答え1

Certificate chain
 0 s:CN = app.local.example.com
   i:C = US, O = Let's Encrypt, CN = Let's Encrypt Authority X3

サーバーが正しく構成されていません。リーフ証明書 (app.local.example.com) と中間証明書を送信する代わりに、リーフ証明書のみが送信されます。中間証明書がないため、ローカル信頼アンカーへの信頼パスを作成できず、証明書の検証が失敗します。「ローカル発行者証明書を取得できません」ブラウザは、多くの場合、不足している中間証明書を別の場所から取得することでこのような問題を回避しますが、他の TLS スタックでは通常、このような回避策は実行されません。

サーバーを適切に構成すると、 に次の内容が表示されますopenssl s_client。これが完了すると、nginx も動作するはずです。

Certificate chain
 0 s:CN = app.local.example.com
   i:C = US, O = Let's Encrypt, CN = Let's Encrypt Authority X3
 1 s:C = US, O = Let's Encrypt, CN = Let's Encrypt Authority X3
   i:O = Digital Signature Trust Co., CN = DST Root CA X3

答え2

アップストリーム サーバーでssl_certificate値を から にcert.pem変更しました。fullchain.pem

ssl_certificate         /etc/letsencrypt/live/app.example.com/fullchain.pem;
ssl_certificate_key     /etc/letsencrypt/live/app.example.com/privkey.pem;
ssl_trusted_certificate /etc/letsencrypt/live/app.example.com/chain.pem;

私が使用したNGINX設定ファイルへのリンクはこちらです

関連情報