用nginx正向代理https网站

人民日报报系

人民日报 人民日报海外版 中国汽车报 中国能源报 健康时报 证券时报 国际金融报网 讽刺与幽默 中国城市报 新闻战线 人民论坛 环球人物 中国经济周刊 民生周刊 国家人文历史 人民周刊 人民数字

旗下网站

全国重点实验室 环球网 海外网 人民图片 人民视觉 人民网研究院 人民慕课

创新服务平台

人民网智慧党建体验中心 828企业服务平台 人民云
人民网>>社会·法治

用nginx正向代理https网站

2025-06-24 12:12:23 | 来源:人民网
小字号

目录

  • 1. 缘起
  • 2. 部署nginx
  • 3. 测试
  • 3.1 http测试
  • 3.2 https测试
  • 4 给centos设置代理访问外网

1. 缘起

  最近碰到了一个麻烦事情,就是公司的centos测试服务器放在内网环境,而且不能直接上外网,导致无法通过yum安装软件,非常捉急。
  幸好,内网还是有可以可以访问外网的机器,所以就想到应该可以利用nginx搭建一个代理服务器,然后centos通过这个nginx来访问外网。当然,如果只是代理http还是很简单的,而要代理https还是需要稍费周折,因为nginx本身不能部署被代理的网站的证书,不能部署成https终结点来,因此与被代理客户端之间不能用ssl协议通讯,因此需要通过http协议中的CONNECT请求打通和外网的连接,然后客户端到nginx走明文,nginx到外网走https协议。这里需要用到ngx_http_proxy_connect_module模块来实现CONNECT的代理功能。

2. 部署nginx

  • 步骤1:   从nginx官网下载nginx源码包。
  • 步骤2:   因为nginx原生是不支持CONNECT请求的,需要安装一个扩展插件,即ngx_http_proxy_connect_module,从github下载ngx_http_proxy_connect_module,另外还要下载一个nginx内核补丁。
  • 步骤3: 解压nginx源码包,进入nginx源码目录,创建modules目录(mkdir modules)。
  • 步骤4: 将ngx_http_proxy_connect_module源码目录放到modules目录中。
  • 步骤5: 将nginx内核补丁放到nginx源码目录,姑且名字叫p1.patch
  • 步骤6: 在nginx源码目录,执行以下命令给nginx内核打上补丁:
patch -p 1 < p1.patch
  • 步骤7:编译nginx,这里假设nginx安装到/opt/nginx目录中(在编译前确认pcre、zlib、openssl的库是否已经正常安装),编译命令如下:
./configure --prefix=/opt/nginx --with-http_ssl_module -add-module=./modules/ngx_http_proxy_connect_modulemake & make install
  • 步骤8:配置nginx
       配置文件如下:
#user  nobody;worker_processes  1;#error_log  logs/error.log;#error_log  logs/error.log  notice;#error_log  logs/error.log  info;#pid        logs/nginx.pid;events {     worker_connections  1024;}http {     include       mime.types;    default_type  application/octet-stream;    #log_format  main  '$remote_addr - $remote_user [$time_local] "$request" '    #                  '$status $body_bytes_sent "$http_referer" '    #                  '"$http_user_agent" "$http_x_forwarded_for"';    #access_log  logs/access.log  main;    sendfile        on;    keepalive_timeout  65;  server {         # 代理端口		listen 8080;        server_name  localhost;                # 解析被代理网站域名的dns服务器,根据实际情况自行配置        resolver  114.114.114.114;                # 开启proxy connect功能        proxy_connect;                # 设置允许代理的目标端口为443,即https的默认端口        proxy_connect_allow 443 80;        location / {                      # 正向代理配置,根据请求地址自动解析出目标网站地址并进行代理            proxy_pass $scheme://$host$request_uri;                        # 发送到被代理网站的请求需要添加host头            proxy_set_header Host $http_host;        			proxy_buffers 256 4k;             proxy_max_temp_file_size 0;            proxy_connect_timeout 30;         }    }}

   以上配置完成后,通过nginx的8080端口,既可以代理普通http的请求,也可以代理https的请求。

  • 步骤9:启动nginx
      执行/opt/nginx/sbin/nginx,启动nginx

3. 测试

3.1 http测试

curl "http://www.baidu.com/" -x 127.0.0.1:8080 -v

响应内容:

*   Trying 127.0.0.1:8080...* Connected to (nil) (127.0.0.1) port 8080 (#0)> GET http://www.baidu.com/ HTTP/1.1> Host: www.baidu.com> User-Agent: curl/7.81.0> Accept: */*> Proxy-Connection: Keep-Alive> * Mark bundle as not supporting multiuse< HTTP/1.1 200 OK< Server: nginx/1.24.0< Date: Fri, 23 Feb 2024 09:08:01 GMT< Content-Type: text/html< Content-Length: 2381< Connection: keep-alive< Accept-Ranges: bytes< Cache-Control: private, no-cache, no-store, proxy-revalidate, no-transform< Etag: "588604eb-94d"< Last-Modified: Mon, 23 Jan 2017 13:28:11 GMT< Pragma: no-cache< Set-Cookie: BDORZ=27315; max-age=86400; domain=.baidu.com; path=/<  百度一下,你就知道  
  
 
 
 关于百度 About Baidu 
 
©2017 Baidu 使用百度前必读  意见反馈 京ICP证030173号 

   通过以上的输出可以看到http代理是没有通过CONNECT请求进行连接的,响应正常。

3.2 https测试

curl "https://www.baidu.com/" -x 127.0.0.1:8080 -v
*   Trying 127.0.0.1:8080...* Connected to (nil) (127.0.0.1) port 8080 (#0)* allocate connect buffer!* Establish HTTP proxy tunnel to www.baidu.com:443> CONNECT www.baidu.com:443 HTTP/1.1> Host: www.baidu.com:443> User-Agent: curl/7.81.0> Proxy-Connection: Keep-Alive> < HTTP/1.1 200 Connection Established< Proxy-agent: nginx< * Proxy replied 200 to CONNECT request* CONNECT phase completed!* ALPN, offering h2* ALPN, offering http/1.1*  CAfile: /etc/ssl/certs/ca-certificates.crt*  CApath: /etc/ssl/certs* TLSv1.0 (OUT), TLS header, Certificate Status (22):* TLSv1.3 (OUT), TLS handshake, Client hello (1):* TLSv1.2 (IN), TLS header, Certificate Status (22):* TLSv1.3 (IN), TLS handshake, Server hello (2):* TLSv1.2 (IN), TLS header, Certificate Status (22):* TLSv1.2 (IN), TLS handshake, Certificate (11):* TLSv1.2 (IN), TLS header, Certificate Status (22):* TLSv1.2 (IN), TLS handshake, Server key exchange (12):* TLSv1.2 (IN), TLS header, Certificate Status (22):* TLSv1.2 (IN), TLS handshake, Server finished (14):* TLSv1.2 (OUT), TLS header, Certificate Status (22):* TLSv1.2 (OUT), TLS handshake, Client key exchange (16):* TLSv1.2 (OUT), TLS header, Finished (20):* TLSv1.2 (OUT), TLS change cipher, Change cipher spec (1):* TLSv1.2 (OUT), TLS header, Certificate Status (22):* TLSv1.2 (OUT), TLS handshake, Finished (20):* TLSv1.2 (IN), TLS header, Finished (20):* TLSv1.2 (IN), TLS header, Certificate Status (22):* TLSv1.2 (IN), TLS handshake, Finished (20):* SSL connection using TLSv1.2 / ECDHE-RSA-AES128-GCM-SHA256* ALPN, server accepted to use http/1.1* Server certificate:*  subject: C=CN; ST=beijing; L=beijing; O=Beijing Baidu Netcom Science Technology Co., Ltd; CN=baidu.com*  start date: Jul  6 01:51:06 2023 GMT*  expire date: Aug  6 01:51:05 2024 GMT*  subjectAltName: host "www.baidu.com" matched cert's "*.baidu.com"*  issuer: C=BE; O=GlobalSign nv-sa; CN=GlobalSign RSA OV SSL CA 2018*  SSL certificate verify ok.* TLSv1.2 (OUT), TLS header, Supplemental data (23):> GET / HTTP/1.1> Host: www.baidu.com> User-Agent: curl/7.81.0> Accept: */*> * TLSv1.2 (IN), TLS header, Supplemental data (23):* Mark bundle as not supporting multiuse< HTTP/1.1 200 OK< Accept-Ranges: bytes< Cache-Control: private, no-cache, no-store, proxy-revalidate, no-transform< Connection: keep-alive< Content-Length: 2443< Content-Type: text/html< Date: Fri, 23 Feb 2024 09:11:25 GMT< Etag: "58860410-98b"< Last-Modified: Mon, 23 Jan 2017 13:24:32 GMT< Pragma: no-cache< Server: bfe/1.0.8.18< Set-Cookie: BDORZ=27315; max-age=86400; domain=.baidu.com; path=/< * TLSv1.2 (IN), TLS header, Supplemental data (23):* TLSv1.2 (IN), TLS header, Supplemental data (23): 百度一下,你就知道  
  
 
 
 关于百度 About Baidu 
 
©2017 Baidu 使用百度前必读  意见反馈 京ICP证030173号 

  通过以上的输出可以看到https代理是通过CONNECT请求进行连接的,中间有发生ssl的握手过程,也已经正常进行了响应。

4 给centos设置代理访问外网

  给centos服务器设置两个http_proxy和https_proxy环境变量,假设nginx服务器的ip为192.168.0.1,那么在命令行执行以下两条命令,即:

export http_proxy="http://192.168.0.1:8080"export https_proxy="https://192.168.0.1:8080"

  然后就可以顺畅地进行yum了。当然,如果可以的话,就将以上两条命令配置到bash.rc中,这样子免得每次登录都需要敲命令。

(责编:人民网)

分享让更多人看到

推荐阅读
大型多人在线游戏哪个好玩? 大型多人在线游戏下载量高
  探索游戏世界的巅峰:本文将向您展示最受欢迎的大型多人在线游戏。下载量高,不仅提供终极娱乐体验,而且是玩家心中的经典作品。来看看,找出能满足你期待,引领潮流的游戏吧!《英雄联盟》是一款与团队合作的MOB
奇瑞iCar V23上市后,大量车主退订:负责人应急调整权益
  快科技12月18日消息,近日,奇瑞icar备受期待 V23方盒纯电动SUV正式上市,限时起售价仅9.99万元,看上去相当实惠。这款车在上市前普遍乐观,原因是设计太好了,时尚与经典的完美融合,绝对是今年
客户端下载

热门排行

人民日报社概况| 关于人民网| 报社招聘| 招聘英才| 广告服务| 合作加盟| 供稿服务| 数据服务| 网站声明| 网站律师| 信息保护| 联系我们

人民日报违法和不良信息举报电话:010-65363263    举报邮箱:jubao@people.cn

人民网服务邮箱:kf@people.cn    违法和不良信息举报电话:010-65363636    举报邮箱:rmwjubao@people.cn

互联网新闻信息服务许可证10120170001  |  增值电信业务经营许可证B1-20060139  |  广播电视节目制作经营许可证(广媒)字第172号  |  京ICP备12004265号-13

信息网络传播视听节目许可证0104065 | 网络文化经营许可证 京网文[2023]4961-141号 | 网络出版服务许可证(京)字121号 | 京ICP证000006号 | 京公网安备11000002000008号

人 民 网 股 份 有 限 公 司 版 权 所 有 ,未 经 书 面 授 权 禁 止 使 用
Copyright © 1997-2024 by www.people.com.cn. all rights reserved