php做网站代码萌宠俱乐部网页设计代码模板
张小明 2026/1/13 0:49:01
php做网站代码,萌宠俱乐部网页设计代码模板,爱站网长尾,深圳能源集团股份有限公司[ 知识是人生的灯塔#xff0c;只有不断学习#xff0c;才能照亮前行的道路 ]#x1f4e2; 大家好#xff0c;我是 WeiyiGeek#xff0c;一名深耕安全运维开发#xff08;SecOpsDev#xff09;领域的技术从业者#xff0c;致力于探索DevOps与安全的融合#xff08;Dev…[ 知识是人生的灯塔只有不断学习才能照亮前行的道路 ] 大家好我是 WeiyiGeek一名深耕安全运维开发SecOpsDev领域的技术从业者致力于探索DevOps与安全的融合DevSecOps自动化运维工具开发与实践企业网络安全防护欢迎各位道友一起学习交流、一起进步 若此文对你有帮助一定记得点个关注⭐与小红星❤️或加入到作者知识星球『 全栈工程师修炼指南』转发收藏学习不迷路 。Nginx 反向代理中与上游服务端 SSL 双向认证指令浅析与配置描述上一篇《Nginx | HTTPS 加密传输客户端与Nginx服务端 SSL 双向认证实践》中讲解了客户端与 Nginx 服务端双向认证相关指令参数并进行了实践以保证访问身份验证以及数据安全性这也是针对某些有点对点通讯安全要求的场景另外还有一种场景比如在 Nginx 反向代理中与上游服务端 SSL 双向认证通常应用于某些敏感的 API 接口同样为了保证身份合法性和数据传输的安全性就需要在 Nginx 与上游服务端之间建立双向认证这将是本小节要讲解的内容。温馨提示若文章代码块中存在乱码或不能复制请联系作者也可通过文末的阅读原文链接加入知识星球中阅读原文链接https://articles.zsxq.com/id_wwnjk3rmwroa.html同样在 Nginx 反向代理添加PROXY_SSL相关指令与上游服务器连接认证如下所示proxy_ssl_certificate: 指定带有PEM格式证书的文件该证书用于向代理HTTPS服务器进行身份验证。Syntax: proxy_ssl_certificate file; Default: — Context: http, server, locationproxy_ssl_certificate_key: 指定带有PEM格式的密钥文件用于向代理HTTPS服务器进行身份验证。Syntax: proxy_ssl_certificate_key file; Default: — Context: http, server, locationproxy_ssl_certificate_cache: 指定用于存储SSL会话的共享内存区域以加快后续连接的速度。Syntax: proxy_ssl_certificate_cache off; proxy_ssl_certificate_cache maxN [inactivetime] [validtime]; Default: proxy_ssl_certificate_cache off; Context: http, server, location # 参数说明 max 设置该高速缓存中元素的最大数量当缓存达到最大数量时它将根据inactive参数删除最少使用LRU的元素 inactive 定义一个时间如果元素在该时间内未被访问则该元素将从该高速缓存中删除缺省该时间为10秒 valid 定义一个时间在此时间内该高速缓存中的元素被认为是有效的并且可以重用缺省该时间为60秒 off 禁用该高速缓存 # 示例演示 proxy_ssl_certificate_cache max1000 inactive20s valid1m;proxy_ssl_password_file: 指定包含PEM格式密钥文件密码的文件其中每个密码都在单独的行上指定在加载密钥时使用。Syntax: proxy_ssl_password_file file; Default: — Context: http, server, locationproxy_ssl_protocols: 为对代理HTTPS服务器的请求启用指定的协议。Syntax: proxy_ssl_protocols [SSLv2] [SSLv3] [TLSv1] [TLSv1.1] [TLSv1.2] [TLSv1.3]; Default: proxy_ssl_protocols TLSv1.2 TLSv1.3; Context: http, server, locationproxy_ssl_ciphers: 指定用于对代理HTTPS服务器进行请求的加密套件。Syntax: proxy_ssl_ciphers ciphers; Default: proxy_ssl_ciphers DEFAULT; Context: http, server, locationproxy_ssl_name: 允许覆盖服务器名称该服务器名称用于验证代理HTTPS服务器的证书并在与代理HTTPS服务器建立连接时通过SNI传递。Syntax: proxy_ssl_name name; Default: proxy_ssl_name $proxy_host; Context: http, server, locationproxy_ssl_server_name: 启用或禁用在与代理HTTPS服务器建立连接时通过TLS服务器名称指示扩展SNIRFC 6066传递服务器名称。Syntax: proxy_ssl_server_name on | off; Default: proxy_ssl_server_name off; Context: http, server, locationproxy_ssl_trusted_certificate: 指定PEM格式的可信CA证书文件用于验证代理HTTPS服务器的证书。Syntax: proxy_ssl_trusted_certificate file; Default: — Context: http, server, locationproxy_ssl_verify: 启用或禁用对代理HTTPS服务器证书的验证。Syntax: proxy_ssl_verify on | off; Default: proxy_ssl_verify off; Context: http, server, locationproxy_ssl_verify_depth: 设置验证代理HTTPS服务器证书时使用的深度。Syntax: proxy_ssl_verify_depth number; Default: proxy_ssl_verify_depth 1; Context: http, server, locationproxy_ssl_session_reuse: 确定在使用代理服务器时是否可以重用SSL会话。如果日志中出现错误“摘要检查失败”请尝试禁用会话重用。Syntax: proxy_ssl_session_reuse on | off; Default: proxy_ssl_session_reuse on; Context: http, server, locationproxy_ssl_crl: 指定PEM格式的具有吊销证书CRL的文件用于验证代理HTTPS服务器的证书。Syntax: proxy_ssl_crl file; Default:— Context: http, server, locationproxy_ssl_conf_command: 在与代理HTTPS服务器建立连接时设置任意OpenSSL配置命令。Syntax: proxy_ssl_conf_command name value; Default: — Context: http, server, locationproxy_ssl_key_log: 指启用代理HTTPS服务器连接SSL密钥的日志记录并指定密钥日志文件的路径, 密钥以与Wireshark兼容的SSLKEYLOGFILE格式记录(注意商业版本才支持)Syntax: proxy_ssl_key_log path; Default: — Context: http, server, location示例演示步骤 01.作者将使用 213 和 214 两台主机做为演示其中 213 作为上游服务端214 作为反向代理服务器先将前面发布的《Nginx | 核心知识150讲百万并发下性能优化之SSL证书签发与HTTPS加密传输实践笔记》文章中生成的 ca、server、client 证书和私钥文件拷贝到 Nginx 的/usr/local/nginx/certs/目录下如下所示# 214 主机 cp /tmp/certs/ca.crt /tmp/certs/ca.key /usr/local/nginx/certs/ cp /tmp/certs/server.crt /tmp/certs/server.key /tmp/certs/server_encrypted.key /tmp/certs/ssl_password.txt /usr/local/nginx/certs/ cp /tmp/certs/client.crt /tmp/certs/client.key /usr/local/nginx/certs/ # 213 主机 cp /tmp/certs/ca.crt /tmp/certs/ca.key /usr/local/nginx/certs/ cp /tmp/certs/app.crt /tmp/certs/app.key /usr/local/nginx/certs/步骤 02.首先在上游服务器213主机中分别监听 8443、9443 端口并启用 SSLNginx 配置文件内容如下所示tee /usr/local/nginx/conf.d/upstream_server.conf EOF server { # 监听 443 端口启用 SSL listen 8443 ssl; # 虚拟主机服务器名称 server_name app1.weiyigeek.top; charset utf-8; default_type text/plain; # 开起 HTTP/2 支持 http2 on; # 日志文件 access_log /var/log/nginx/app1.log main; error_log /var/log/nginx/app1.err.log debug; # SSL 证书文件 ssl_certificate /usr/local/nginx/certs/app.crt; ssl_certificate_key /usr/local/nginx/certs/app.key; # 配置加密的 SSL 证书密钥文件(根据需求选择) # ssl_certificate_key /usr/local/nginx/certs/app1_encrypted.key; # ssl_password_file /usr/local/nginx/certs/ssl_password.txt; # 配置可信的 CA 证书文件 # ssl_trusted_certificate /usr/local/nginx/certs/ca.crt; # 配置使用ca证书来验证客户端证书 ssl_client_certificate /usr/local/nginx/certs/ca.crt; # 若使用 optional 参数将请求客户端证书并验证证书是否存在即使不存在也可访问其次ssl_client_verify 变量值为 NONE ssl_verify_client on; # 指定客户端证书到根证书的深度 ssl_verify_depth 2; # 支持的 SSL/TLS 协议版本 ssl_protocols TLSv1.1 TLSv1.2 TLSv1.3; # 支持的 SSL/TLS 加密套件 ssl_ciphers ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-CHACHA20-POLY1305:ECDHE-RSA-CHACHA20-POLY1305:ECDHE:ECDH:AES:HIGH:EECDHCHACHA20:EECDHCHACHA20-draft:EECDHAES128:RSAAES128:EECDHAES256:RSAAES256:EECDH3DES:RSA3DES:DHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES256-GCM-SHA384:!NULL:!aNULL:!eNULL:!EXPORT:!PSK:!ADH:!DH:!DES:!MD5:!RC4; # 优先使用服务器端支持的加密套件 ssl_prefer_server_ciphers on; # SSL 会话缓存 ssl_session_cache shared:SSL:10m; # 注意点SSL 会话超时时间由于是内网反向代理请求所以这里设置为1小时用不着几分钟就超时一次。 ssl_session_timeout 1h; # SSL 会话票据复用 ssl_session_tickets on; # 强制使用 HTTPS 访问 add_header Strict-Transport-Security max-age31536000;includeSubDomains;preload always; location /certificate { return 200 proxy ssl request upstream $host - $server_host:$server_port\nssl_client_verify: $ssl_client_verify\nssl_server_name: $ssl_server_name\nssl_alpn_protocol: $ssl_alpn_protocol\nssl_protocol: $ssl_protocol\nssl_client_fingerprint: $ssl_client_fingerprint\nssl_cipher: $ssl_cipher\nssl_client_i_dn: $ssl_client_i_dn\nssl_client_s_dn: $ssl_client_s_dn\nssl_client_v_start: $ssl_client_v_start\nssl_client_v_end: $ssl_client_v_end\nssl_client_v_remain: $ssl_client_v_remain\nssl_session_id: $ssl_session_id\nssl_client_escaped_cert: $ssl_client_escaped_cert\nssl_client_raw_cert:\n $ssl_client_raw_cert\nssl_client_cert:\n $ssl_client_cert; } } server { # 监听 443 端口启用 SSL listen 9443 ssl; # 虚拟主机服务器名称 server_name app2.weiyigeek.top; charset utf-8; default_type text/plain; # 开起 HTTP/2 支持 http2 on; # 日志文件 access_log /var/log/nginx/app2.log main; error_log /var/log/nginx/app2.err.log debug; # SSL 证书文件 ssl_certificate /usr/local/nginx/certs/app.crt; ssl_certificate_key /usr/local/nginx/certs/app.key; # 配置加密的 SSL 证书密钥文件(根据需求选择) # ssl_certificate_key /usr/local/nginx/certs/app2_encrypted.key; # ssl_password_file /usr/local/nginx/certs/ssl_password.txt; # 配置可信的 CA 证书文件 # ssl_trusted_certificate /usr/local/nginx/certs/ca.crt; # 配置使用ca证书来验证客户端证书 ssl_client_certificate /usr/local/nginx/certs/ca.crt; ssl_verify_client on; # 指定客户端证书到根证书的深度 ssl_verify_depth 2; # 支持的 SSL/TLS 协议版本 ssl_protocols TLSv1.1 TLSv1.2 TLSv1.3; # 支持的 SSL/TLS 加密套件 ssl_ciphers ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-CHACHA20-POLY1305:ECDHE-RSA-CHACHA20-POLY1305:ECDHE:ECDH:AES:HIGH:EECDHCHACHA20:EECDHCHACHA20-draft:EECDHAES128:RSAAES128:EECDHAES256:RSAAES256:EECDH3DES:RSA3DES:DHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES256-GCM-SHA384:!NULL:!aNULL:!eNULL:!EXPORT:!PSK:!ADH:!DH:!DES:!MD5:!RC4; # 优先使用服务器端支持的加密套件 ssl_prefer_server_ciphers on; # SSL 会话缓存 ssl_session_cache shared:SSL:10m; # SSL 会话超时时间 ssl_session_timeout 1h; # SSL 会话票据复用 ssl_session_tickets on; # 强制使用 HTTPS 访问 add_header Strict-Transport-Security max-age31536000;includeSubDomains;preload always; location /certificate { return 200 proxy ssl request upstream $host - $server_host:$server_port\nssl_client_verify: $ssl_client_verify\nssl_server_name: $ssl_server_name\nssl_alpn_protocol: $ssl_alpn_protocol\nssl_protocol: $ssl_protocol\nssl_client_fingerprint: $ssl_client_fingerprint\nssl_cipher: $ssl_cipher\nssl_client_i_dn: $ssl_client_i_dn\nssl_client_s_dn: $ssl_client_s_dn\nssl_client_v_start: $ssl_client_v_start\nssl_client_v_end: $ssl_client_v_end\nssl_client_v_remain: $ssl_client_v_remain\nssl_session_id: $ssl_session_id\nssl_client_escaped_cert: $ssl_client_escaped_cert\nssl_client_raw_cert:\n $ssl_client_raw_cert\nssl_client_cert:\n $ssl_client_cert; } } EOF # 重启 Nginx 服务 nginx -s reload重启完成后在访问主机中添加解析并分别访问https://app1.weiyigeek.top:8443和https://app2.weiyigeek.top:9443如下图所示weiyigeek.top-上游主机SSL配置图步骤 03.在 214 主机中的 Nginx 配置文件中添加使用 SSL 反向代理到上游服务的配置如下所示tee /usr/local/nginx/conf.d/proxy_ssl_server.conf EOF # 创建上游服务器 upstream backend_server { # 定义共享内存区用于在工作进程间同步负载信息可根据后端服务器数量调整。 zone backend_zone 64k; # 多个上游服务组缺省使用轮询负载均衡算法 server app1.weiyigeek.top:8443 max_fails2 fail_timeout10s;; server app2.weiyigeek.top:9443 max_fails2 fail_timeout10s;; # 设置与上游服务器的长连接最多保持10个空闲的保活连接。 keepalive 10; keepalive_timeout 60s; # 设置与上游服务器的长连接空闲连接的超时时间。 } server { listen 80; # 监听 443 端口启用 SSL 为了演示 http 访问先临时禁用 # listen 443 ssl; # 虚拟主机服务器名称 server_name server.weiyigeek.top; charset utf-8; default_type text/plain; # 开起 HTTP/2 支持 http2 on; # 日志文件 access_log /var/log/nginx/server.log main; error_log /var/log/nginx/server.err.log debug; # SSL 证书文件 ssl_certificate /usr/local/nginx/certs/server.crt; ssl_certificate_key /usr/local/nginx/certs/server.key; # 配置加密的 SSL 证书密钥文件(根据需求选择) # ssl_certificate_key /usr/local/nginx/certs/server_encrypted.key; # ssl_password_file /usr/local/nginx/certs/ssl_password.txt; # 配置可信的 CA 证书文件 # ssl_trusted_certificate /usr/local/nginx/certs/ca.crt; # 配置客户端证书验证 ssl_client_certificate /usr/local/nginx/certs/ca.crt; ssl_verify_client on; # 指定客户端证书到根证书的深度 ssl_verify_depth 2; # 支持的 SSL/TLS 协议版本 ssl_protocols TLSv1.1 TLSv1.2 TLSv1.3; # 支持的 SSL/TLS 加密套件 ssl_ciphers ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-CHACHA20-POLY1305:ECDHE-RSA-CHACHA20-POLY1305:ECDHE:ECDH:AES:HIGH:EECDHCHACHA20:EECDHCHACHA20-draft:EECDHAES128:RSAAES128:EECDHAES256:RSAAES256:EECDH3DES:RSA3DES:DHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES256-GCM-SHA384:!NULL:!aNULL:!eNULL:!EXPORT:!PSK:!ADH:!DH:!DES:!MD5:!RC4; # SSL 会话缓存 ssl_session_cache shared:SSL:10m; # SSL 会话超时时间 ssl_session_timeout 10m; # 优先使用服务器端支持的加密套件 ssl_prefer_server_ciphers on; # SSL 会话票据复用 ssl_session_tickets on; # 强制使用 HTTPS 访问 为了演示 http 访问先临时禁用 # add_header Strict-Transport-Security max-age31536000;includeSubDomains;preload always; location / { root /usr/local/nginx/html; index index.html; } location /api/ { # 启用反向代理的 URL 重写功能将 /api/ 前缀去掉。 rewrite ^/api/(.*)$ /$1break; # 反向代理到上游服务器 proxy_pass https://backend_server; # 设置请求头部 proxy_set_header Host $host; proxy_set_header X-Real-IP $remote_addr; proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for; # 启用长连接 proxy_set_header Connection ; proxy_http_version 1.1; # 在反向代理启用与上游服务器 SSL 相互认证 proxy_ssl_certificate /usr/local/nginx/certs/client.crt; proxy_ssl_certificate_key /usr/local/nginx/certs/client.key; proxy_ssl_protocols TLSv1.1 TLSv1.2 TLSv1.3; proxy_ssl_ciphers ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-CHACHA20-POLY1305:ECDHE-RSA-CHACHA20-POLY1305:ECDHE:ECDH:AES:HIGH:EECDHCHACHA20:EECDHCHACHA20-draft:EECDHAES128:RSAAES128:EECDHAES256:RSAAES256:EECDH3DES:RSA3DES:DHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES256-GCM-SHA384:!NULL:!aNULL:!eNULL:!EXPORT:!PSK:!ADH:!DH:!DES:!MD5:!RC4; # 启用并设置在与代理HTTPS服务器建立连接时通过TLS服务器名称指示扩展 proxy_ssl_server_name on; proxy_ssl_name app.weiyigeek.top; proxy_ssl_verify_depth 2; } } EOF步骤 04.同样配置完成后重启 Nginx 服务使用浏览器访问 http://server.weiyigeek.top/api/certificate 注意不带 https 协议如下所示weiyigeek.top-验证Nginx与上游服务双向SSL认证图步骤 05.如将主机 214 中的 Nginx 配置文件中proxy_ssl相关指令注释掉便无法与上游服务建立正常的请求响应便会显示 400 响应码以及400 Bad Request No required SSL certificate was sent页面提示如下所示weiyigeek.top-模拟Nginx无法与上游服务创建SSL通信通道图至此完成Nginx 反向代理与上游服务双向 SSL 认证配置相信大家实践后都有所收货吧!好了本章讲解了在 Nginx 中配置 SSL 安全认证三种场景基本涵盖我们生产环境中常用的场景希望对你有所帮助如有疑问欢迎留言讨论。下一章中作者将对 Nginx 中的客户端以及上游服务端缓相关指令参数、响应头做介绍与实践请大家多多关注END加入作者【全栈工程师修炼指南】知识星球『 全栈工程师修炼指南』星球主要涉及全栈工程师Full Stack Development实践文章持续更新包括但不限于企业SecDevOps和网络安全等保合规、安全渗透测试、编程开发、云原生Cloud Native、物联网工业控制IOT、人工智能Ai从业书籍笔记人生职场认识等方面资料或文章。Q: 加入作者【全栈工程师修炼指南】星球后有啥好处✅ 将获得作者最新工作学习实践文章以及网盘资源。✅ 将获得作者珍藏多年的全栈学习笔记(需连续两年及以上老星球友也可单次购买)✅ 将获得作者专门答疑学习交流群解决在工作学习中的问题。✅ 将获得作者远程支持在作者能力范围内且合规。获取作者工作学习全栈笔记作者整理了10年的工作学习笔记涉及网络、安全、运维、开发需要学习实践笔记的看友可添加作者微信或者回复【工作学习实践笔记】当前价格299除了获得从业笔记的同时还可进行问题答疑以及每月远程技术支持希望大家多多支持收获定大于付出知识推荐往期文章【最新】Nginx | HTTPS 加密传输客户端与Nginx服务端 SSL 双向认证实践【最新】Nginx | 核心知识150讲百万并发下性能优化之SSL证书签发与HTTPS加密传输实践笔记【最新】Nginx | 核心知识150讲百万并发下性能优化之HTTP协议中反向代理实践笔记【最新】Nginx | HTTP 反向代理与上游服务端建立连接处理实践【最新】Nginx | HTTP 反向代理对上游服务端返回响应处理实践【相关】开发Tips | 免费SSL证书和付费SSL证书的区别【相关】如何让HTTPS站点更加安全? 这篇HTTPS安全加固配置最佳实践指南就够了【相关】如何让HTTPS站点评级达到A? 还得看这篇HTTPS安全优化配置最佳实践指南【相关】HTTPS原理介绍以及证书签名的申请配置若文章对你有帮助请将它转发给更多的看友若有疑问的小伙伴可在评论区留言你想法哟