Nginx ย้อนกลับ Proxy Overwrite Certificate

ฉันมีปัญหาในการพยายามเขียนทับใบรับรองโดยใช้ NGINX เป็น Reverse Proxy ที่ส่งต่อคำขอทั้งหมดไปยังเซิร์ฟเวอร์ Apache ด้วยและใบรับรองเก่า (TLS 1.0)

นี่คือผลลัพธ์สำหรับไฟล์ .conf ของฉัน:

เซิร์ฟเวอร์ {
ฟัง 80;
server_name บทบัญญัติ.metrotel.com.ar;
ส่งคืน 301 https://provision.metrotel.com.ar$request_uri;
}

เซิร์ฟเวอร์ {
ฟัง 443 ssl http2;
server_name บทบัญญัติ.metrotel.com.ar;
ssl_certificate /etc/nginx/certs/metrotel.crt;
ssl_certificate_key /etc/nginx/certs/metrotel.key;
access_log /var/log/nginx/access.log;
error_log /var/log/nginx/error_prov.log;
ที่ตั้ง / {
proxy_pass http://prov.metrotel.com.ar/;
proxy_ssl_certificate /etc/nginx/certs/metrotel.crt;
proxy_ssl_certificate_key /etc/nginx/certs/metrotel.key;

}
}

http://prov.metrotel.com.ar/ เป็นเซิร์ฟเวอร์ที่เว็บไซต์ตั้งอยู่และมีใบรับรองเก่า มีวิธีเขียนทับใบรับรองนั้นโดยใช้ใบรับรองที่ฉันมีใน nginx reverse proxy ของฉันหรือไม่

ฉันได้ลองหลายตัวเลือกที่ฉันมักจะได้รับ "NET::ERR_SSL_OBSOLETE_VERSION"

ไคลเอนต์ Chrome บน (172.20.1.4)

พร็อกซี (Nginx บน srv-nginx-a.metrotel.local -192.168.151.112)

แบ็กเอนด์ (prov.metrotel.com.ar) 192.168.59.20

tcpdump: เอาต์พุต verbose ถูกระงับ ใช้ -v หรือ -vv สำหรับการถอดรหัสโปรโตคอลแบบเต็ม
กำลังฟัง ens192, ประเภทลิงก์ EN10MB (Ethernet), ขนาดการจับภาพ 262144 ไบต์

11:50:59.260014 IP 172.20.1.4.19710 > srv-nginx-a.metrotel.local.https: ค่าสถานะ [S], seq 979144705, ชนะ 29200, ตัวเลือก [mss 1460,nop,nop,sackOK,nop,wscale 4 ], ความยาว 0

11:50:59.260165 IP srv-nginx-a.metrotel.local.https > 172.20.1.4.19710: ค่าสถานะ [S.], seq 3107298579, ack 979144706, ชนะ 29200, ตัวเลือก [mss 1460,nop,nop,sackตกลง, nop,wscale 7], ความยาว 0

11:50:59.260397 IP 172.20.1.4.19710 > srv-nginx-a.metrotel.local.https: ค่าสถานะ [.], ack 1, ชนะ 1825, ความยาว 0

11:50:59.282128 IP 172.20.1.4.19710 > srv-nginx-a.metrotel.local.https: Flags [P.], seq 1:536, ack 1, ชนะ 1825, ความยาว 535

11:50:59.282204 IP srv-nginx-a.metrotel.local.https > 172.20.1.4.19710: ค่าสถานะ [.], ack 536, ชนะ 237, ความยาว 0

11:50:59.282659 IP srv-nginx-a.metrotel.local.https > 172.20.1.4.19710: Flags [P.], seq 1:153, ack 536, win 237, length 152

11:50:59.282869 IP 172.20.1.4.19710 > srv-nginx-a.metrotel.local.https: ค่าสถานะ [.], ack 153, ชนะ 1892, ความยาว 0

11:50:59.293101 IP 172.20.1.4.19710 > srv-nginx-a.metrotel.local.https: Flags [P.], seq 536:587, ack 153, win 1892, length 51

11:50:59.332644 IP srv-nginx-a.metrotel.local.https > 172.20.1.4.19710: ค่าสถานะ [.], ack 587, ชนะ 237, ความยาว 0

11:50:59.332935 IP 172.20.1.4.19710 > srv-nginx-a.metrotel.local.https: Flags [P.], seq 587:1300, ack 153, win 1892, length 713

11:50:59.332967 IP srv-nginx-a.metrotel.local.https > 172.20.1.4.19710: ค่าสถานะ [.], ack 1300, ชนะ 248, ความยาว 0

11:50:59.333185 IP srv-nginx-a.metrotel.local.53190 > 192.168.59.20.http: ค่าสถานะ [S], seq 1924765737, ชนะ 29200, ตัวเลือก [mss 1460,sackOK,TS val 
180831520 ecr 0,nop,wscale 7], ความยาว 0

11:50:59.333584 IP 192.168.59.20.http > srv-nginx-a.metrotel.local.53190: ค่าสถานะ [S.], seq 4244116336, ack 1924765738, ชนะ 5792, ตัวเลือก [mss 1460,sackOK,TS val 3558238853 ecr 180831520,nop,wscale 7], ความยาว 0

11:50:59.333605 IP srv-nginx-a.metrotel.local.53190 > 192.168.59.20.http: ค่าสถานะ [.], ack 1, ชนะ 229, ตัวเลือก [nop,nop,TS val 180831521 ecr 3558238853], ความยาว 0

11:50:59.333639 IP srv-nginx-a.metrotel.local.53190 > 192.168.59.20.http: ค่าสถานะ [P.], seq 1:757, ack 1, ชนะ 229, ตัวเลือก [nop,nop,TS
ค่า 180831521 ecr 3558238853], ความยาว 756: HTTP: GET / HTTP/1.0

11:50:59.333915 IP 192.168.59.20.http > srv-nginx-a.metrotel.local.53190: ค่าสถานะ [.], ack 757, ชนะ 58, ตัวเลือก [nop,nop,TS val 3558238854 ecr 180831521], ความยาว 0

11:50:59.334144 IP 192.168.59.20.http > srv-nginx-a.metrotel.local.53190: Flags [P.], seq 1:520, ack 757, win 58, options [nop,nop,TS val 3558238854 ecr 180831521], ความยาว 519: HTTP: พบ HTTP/1.1 302

11:50:59.334157 IP srv-nginx-a.metrotel.local.53190 > 192.168.59.20.http: ค่าสถานะ [.], ack 520, ชนะ 237, ตัวเลือก [nop,nop,TS val 180831521 ecr 3558238854], ความยาว 0

11:50:59.334169 IP 192.168.59.20.http > srv-nginx-a.metrotel.local.53190: ค่าสถานะ [F.], seq 520, ack 757, ชนะ 58, ตัวเลือก [nop,nop,TS val 3558238854 ecr 180831521 ], ความยาว 0

11:50:59.334236 IP srv-nginx-a.metrotel.local.53190 > 192.168.59.20.http: ค่าสถานะ [F.], seq 757, ack 521, ชนะ 237, ตัวเลือก [nop,nop,TS
ค่า 180831521 ecr 3558238854], ความยาว 0

11:50:59.334272 IP srv-nginx-a.metrotel.local.https > 172.20.1.4.19710: Flags [P.], seq 153:1048, ack 1300, win 248, length 895

11:50:59.334438 IP 192.168.59.20.http > srv-nginx-a.metrotel.local.53190: 
ค่าสถานะ [.], ack 758, ชนะ 58, ตัวเลือก [nop,nop,TS val 3558238854 ecr 180831521], ความยาว 0

11:50:59.373720 IP 172.20.1.4.19710 > srv-nginx-a.metrotel.local.https: ตั้งค่าสถานะ [.], ack 1048, ชนะ 2004, ความยาว 0

11:50:59.407267 IP 172.20.1.4.19710 > srv-nginx-a.metrotel.local.https: Flags [P.], seq 1300:2013, ack 1048, win 2004, length 713

11:50:59.407531 IP srv-nginx-a.metrotel.local.53192 > 192.168.59.20.http: ค่าสถานะ [S], seq 3919551832, ชนะ 29200, ตัวเลือก [mss 1460,sackOK,TS val 180831594 ecr 0,nop, wมาตราส่วน 7], ความยาว 0

11:50:59.407867 IP 192.168.59.20.http > srv-nginx-a.metrotel.local.53192: ค่าสถานะ [S.], seq 2604868674, ack 3919551833, ชนะ 5792, ตัวเลือก [mss 1460,sackOK,TS val 3558238922 ecr 180831594,nop,wscale 7], ความยาว 0

11:50:59.407897 IP srv-nginx-a.metrotel.local.53192 > 192.168.59.20.http: ค่าสถานะ [.], ack 1, ชนะ 229, ตัวเลือก [nop,nop,TS val 180831595 ecr 3558238928], ความยาว 0

11:50:59.407950 IP srv-nginx-a.metrotel.local.53192 > 192.168.59.20.http: ค่าสถานะ [P.], seq 1:757, ack 1, ชนะ 229, ตัวเลือก [nop,nop,TS
ค่า 180831595 ecr 3558238928], ความยาว 756: HTTP: GET / HTTP/1.0

11:50:59.408211 IP 192.168.59.20.http > srv-nginx-a.metrotel.local.53192: ค่าสถานะ [.], ack 757, ชนะ 58, ตัวเลือก [nop,nop,TS val 3558238928 ecr 180831595], ความยาว 0

11:50:59.408605 IP 192.168.59.20.http > srv-nginx-a.metrotel.local.53192: ค่าสถานะ [P.], seq 1:520, ack 757, ชนะ 58, ตัวเลือก [nop,nop,TS val 3558238928 ecr 180831595], ความยาว 519: HTTP: HTTP/1.1 302 พบ

11:50:59.408627 IP srv-nginx-a.metrotel.local.53192 > 192.168.59.20.http: ค่าสถานะ [.], ack 520, ชนะ 237, ตัวเลือก [nop,nop,TS val 180831596 ecr 3558238928], ความยาว 0

11:50:59.408642 IP 192.168.59.20.http > srv-nginx-a.metrotel.local.53192: ค่าสถานะ [F.], seq 520, ack 757, ชนะ 58, ตัวเลือก [nop,nop,TS val 3558238928 ecr 180831595 ], ความยาว 0

11:50:59.408711 IP srv-nginx-a.metrotel.local.53192 > 192.168.59.20.http: ค่าสถานะ [F.], seq 757, ack 521, ชนะ 237, ตัวเลือก [nop,nop,TS
ค่า 180831596 ecr 3558238928], ความยาว 0

11:50:59.408748 IP srv-nginx-a.metrotel.local.https > 172.20.1.4.19710: Flags [P.], seq 1048:1943, ack 2013, ชนะ 259, ความยาว 895

11:50:59.408974 IP 192.168.59.20.http > srv-nginx-a.metrotel.local.53192: ค่าสถานะ [.], ack 758, ชนะ 58, ตัวเลือก [nop,nop,TS val 3558238929 ecr 180831596], ความยาว 0

11:50:59.408994 IP 172.20.1.4.19710 > srv-nginx-a.metrotel.local.https: ตั้งค่าสถานะ [.], ack 1943, ชนะ 2116, ความยาว 0

ลองเปิด TLS1.2 และ 1.3 โดยเพิ่ม ssl_protocols TLSv1.2 TLSv1.3; ของคุณ เซิร์ฟเวอร์ ส่วนดังนี้

เซิร์ฟเวอร์ {
    ฟัง 80;
    server_name บทบัญญัติ.metrotel.com.ar;
    ส่งคืน 301 https://provision.metrotel.com.ar$request_uri;
    ssl_protocols TLSv1.2 TLSv1.3;
}

บน wireshark pcap การเชื่อมต่อระหว่างไคลเอนต์ (Chrome) และพร็อกซี (Nginx) คือ TLS 1.2 ส่วนอื่น ๆ (TLS เก่าของ Nginx-Apache) เป็น HTTP เท่านั้น พร็อกซีใช้งานได้ดี มีการเชื่อมต่อ "ไม่" ระหว่างไคลเอนต์และเซิร์ฟเวอร์ พร็อกซีอยู่ตรงกลางเสมอ