Proxy reverso SSL NGINX verifica SSL upstream

tag-icon tag-icon ubuntu nginx ssl reverse-proxy lets-encrypt
Proxy reverso SSL NGINX verifica SSL upstream

Tenho o NGINX configurado como proxy reverso para hospedar vários sites usando apenas um endereço IP. Eu tenho um certificado Lets Encrypt no proxy e um certificado Lets Encrypt diferente no servidor upstream. Basicamente, preciso que o NGINX encaminhe o tráfego para o servidor upstream e verifique se o servidor upstream possui um certificado TLS válido. Se eu desabilitar proxy_ssl_verify, funcionará. Se eu acessar https://app.local.example.comminha rede interna, o aplicativo funciona bem.

Diagrama de rede:

https://app.example.com --> NGINX Reverse Proxy --> https://app.local.example.com (Local IP Address)

Arquivo de configuração do proxy reverso NGINX:

server {
    listen 80;
    rewrite ^ https://$host$request_uri? permanent;
}

server {
        server_name app.example.com;

        listen                                  443 ssl;

        ssl_certificate                         /etc/letsencrypt/live/app.example.com/cert.pem;
        ssl_certificate_key                     /etc/letsencrypt/live/app.example.com/privkey.pem;
        ssl_trusted_certificate                 /etc/letsencrypt/live/app.example.com/chain.pem;

        location / {

                proxy_redirect off;
                proxy_set_header Host $http_host;
                proxy_set_header X-Real-IP $remote_addr;
                proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
                proxy_set_header X-Forwarded-Ssl on;
                proxy_set_header X-Forwarded-Protocol $scheme;
                proxy_set_header X-Forwarded-HTTPS on;

                proxy_ssl_session_reuse        off;
                proxy_ssl_name                 app.local.example.com

                proxy_ssl_verify               on;
                proxy_ssl_verify_depth         2; # I've tried 1,2,3,4
                proxy_ssl_trusted_certificate /etc/ssl/certs/ca-certificates.crt; 
                            
                proxy_pass                     https://app.local.example.com
        }
}

Aqui está a mensagem de erro que estou recebendo.

[error] 1087#1087: *2 upstream SSL certificate verify error: (20:unable to get local issuer certificate) while SSL handshaking to upstream, client: [Client IP], server: app.example.com, request: "GET / HTTP/1.1", upstream: "https://192.168.1.5:443/", host: "app.local.example.com", referrer: "https://app.example.com/">

Versão OpenSSL:OpenSSL 1.1.1f 31 Mar 2020

nginx -v:nginx version: nginx/1.18.0 (Ubuntu)

gato /etc/issue:Ubuntu 20.04.1 LTS \n \l

Saída deopenssl s_client -connect app.local.example.com:443

CONNECTED(00000003)
depth=0 CN = app.local.example.com
verify error:num=20:unable to get local issuer certificate
verify return:1
depth=0 CN = app.local.example.com
verify error:num=21:unable to verify the first certificate
verify return:1
---
Certificate chain
 0 s:CN = app.local.example.com
   i:C = US, O = Let's Encrypt, CN = Let's Encrypt Authority X3
---
Server certificate
-----BEGIN CERTIFICATE-----
MIIFeDCCBGCgAwIBAgISA8NkbZ6wz2EnKcedXujKT9AmMA0GCSqGSIb3DQEBCwUA
...
-----END CERTIFICATE-----
...
SSL-Session:
    Protocol  : TLSv1.3
    ...
    Verify return code: 21 (unable to verify the first certificate)

Responder1

Certificate chain
 0 s:CN = app.local.example.com
   i:C = US, O = Let's Encrypt, CN = Let's Encrypt Authority X3

Seu servidor não está configurado corretamente. Em vez de enviar o certificado folha (app.local.example.com) e o certificado intermediário, ele envia apenas o certificado folha. Devido à falta do certificado intermediário, nenhum caminho confiável pode ser criado para a âncora confiável local, o que significa que a validação do certificado falha com"não foi possível obter o certificado do emissor local". Os navegadores geralmente resolvem esses problemas obtendo o certificado intermediário ausente de outro lugar, mas outras pilhas TLS geralmente não fazem essas soluções alternativas.

Depois de configurar corretamente o servidor, você deverá ver o seguinte no arquivo openssl s_client. Feito isso, o nginx também deverá funcionar.

Certificate chain
 0 s:CN = app.local.example.com
   i:C = US, O = Let's Encrypt, CN = Let's Encrypt Authority X3
 1 s:C = US, O = Let's Encrypt, CN = Let's Encrypt Authority X3
   i:O = Digital Signature Trust Co., CN = DST Root CA X3

Responder2

Alterei o ssl_certificatevalor de cert.pempara fullchain.pemno servidor upstream.

ssl_certificate         /etc/letsencrypt/live/app.example.com/fullchain.pem;
ssl_certificate_key     /etc/letsencrypt/live/app.example.com/privkey.pem;
ssl_trusted_certificate /etc/letsencrypt/live/app.example.com/chain.pem;

Aqui está um link para os arquivos de configuração do NGINX que usei

informação relacionada