使用nginx作为HTTPS正向代理服务器（七层透传代理、中间人代理）

【前言】

在讲解nginx正向代理https之前，我们先来解答几个小疑问。

1、nginx是什么？

       Java同学肯定知道apache服务器，一个很牛，但是也很庞大的web服务器。能当web服务器的不仅仅只有apache，还有一个小巧轻快，高性能的家伙，它就是nginx。

       百度百科的解释是：nginx是一个高性能的http和反向代理服务器，同时也提供了imap/pop3/smtp服务。其特点是占有内存少，并发能力强。在咱们大中华大陆地区，百度、京东、新浪、网易、腾讯、淘宝都用了nginx，可见它有多受大家的欢迎。

       大家都知道它是一个反向代理服务器，其实它也可以作为一个正向代理服务器。虽然nginx官方并没有提供http connect方法，但是nginx扩展性特别好，有大佬造出了ngx_http_proxy_connect_module模块（点击可以去到对应的github）来支持http connet方法，如此一来，它就可以正向代理http以及https了。本文着只讲nginx正向代理https，其余的等有时间再更新吧。

2、什么是nginx正反向代理？

正向代理：客户发送请求给代理服务器，代理服务器代替客户把请求发送给服务器，即正向代理是代理的客户端。

反向代理：代理服务器将收集到的请求分发给服务器，服务器处理完请求将结果返回给代理服务器，再由代理服务器将结果返回给客户端，即反向代理是代理的服务端。

详细讲解nginx正反向代理可以看这里：看了这篇你就彻底了解nginx的正方向代理啦~

3、https是什么？

       https其实就是http+tls/ssl的简称，tls从某种意义来说就是ssl3.1版本，ssl是在应用层和传输层中间加的一个套接层，即加密在传输层和应用层之间传输的数据。详情请点击这里：看完这篇你就了解HTTPS、TLS、SSL啦~

4、https建立连接过程是怎样的？

       客户端发起https连接--->服务端发送证书-->客户端验证服务端发来的证书(验证证书-->生成随机数-->生成握手信息hash值)-->服务端接收随机数加密的信息-->服务端验证握手信息是否被篡改-->客户端验证服务端发送回来的握手信息，完成握手

详细连接过程可以看这里：HTTPS建立连接详细过程

5、为什么需要https代理？

       了解完https连接过程后会你可能有一个疑问，我客户端为什么需要一个nginx的代理服务器去正向代理https呢？我输入了域名后，直接去DNS服务器获取服务端IP，然后直接连接它的443端口不就行了吗？对，你说的都对，但是，问题就出在“直接连接它的443端口”，如果我不能直接连接它的443端口呢？甚至，我如果连Ping都Ping不通服务端呢？那怎么办？这时候，你就需要一台能够代替你，去连接服务端的服务器了。

       这个代理服务器，目前常见的有用apache搭建的代理服务器、用nginx搭建的代理服务器。今天这篇文章我只讲nginx代理服务器，这俩货到底有什么区别，谁更合适什么场景，之后有时间再进行详细讲解吧。

【正文】

HTTPS/HTTP的正向代理从客户端是否有感知可以分为以下两种：

普通代理：客户端在浏览器自己配置代理的端口和地址。

透明代理：客户端无需做代理设置，于客户而已是无感的，企业中的web网关设备就是如此。

HTTPS/HTTP的正向代理从代理服务器是否需要解密HTTPS可以分为以下两种：

隧道代理（透传）：只在TCP协议之上进行透传HTTPS流量，并不对流量进行解密分析，客户端相当于直接和目的服务器进行TLS/SSL交互。

中间人代理：看到中间人我瞬间联想到了中间人攻击，这个原理也可以说类似吧，代理服务器将客户端发来的HTTPS流量进行解密，对客户端利用自签名证书完成TLS/SSL握手，这个时候代理服务器拿到了客户端访问服务端的HTTPS流量内容，再和服务端完成正常的TLS/SSL交互。

注：这种情况客户端在TLS握手阶段实际上是拿到的代理服务器自己的自签名证书，证书链的验证默认不成功，需要在客户端信任代理自签证书的Root CA证书。所以过程中是客户端有感的。如果要做成无感的透明代理，需要向客户端推送自建的Root CA证书，在企业内部环境下是可实现的。

n       ginx代理https的方式都属于透传，也就是透明传输，不对传输的流量（数据包）进行解密。

http connect 隧道

       七层解决方案是在应用层来进行解决的，并不存在对数据包进行解密的一个过程。它需要通过http connect来建立一个隧道（通俗理解就是一个指定的用来连接的通道），这里需要在客户端配置https代理服务器的ip和端口。

具体连接过程如下：

1、客户端给代理服务器发送http connect请求，并将要访问的url一并发给代理服务器；

2、代理用客户端发来的url去到dns服务器找到对应的ip，连上443端口；

3、代理连上服务端443端口后，给客户端发送一个HTTP/1.1 200 Connection Established（即http200响应）；

4、此时客户端和代理服务器成功建立一个http connect隧道；

5、客户端发送https流量给到代理服务器，代理服务器直接将此https流量直接发送给到服务器；

至此，整个七层的http connect隧道就建立成功，换句话说就是成功搭建了nginx正向代理https服务。

流程图如下：

【nginx正向代理https七层方案配置】

       在前言已跟大家介绍，nginx官方并未提供http connect方法，但是github上已有相关模块，可以自行下载安装ngx_http_proxy_connect_module。

【添加gx_http_proxy_connect_module模块步骤】

对于已经编译安装完的nginx环境，加入此模块步骤如下：

# 确定已安装git应用

[root@hobby ~]# yum install -y git

# 从git上下载此模块

[root@hobby ~]# git clone https://github.com/chobits/ngx_http_proxy_connect_module.git

# 确定模块下载存放的路径

[root@hobby ngx_http_proxy_connect_module]# pwd

/root/ngx_http_proxy_connect_module

# 停止nginx

[root@hobby ~]# systemctl stop nginx.

# 备份原nginx执行

[root@hobby ~]# cp /usr/local/nginx/sbin/nginx /usr/local/nginx/sbin/nginx.bak

# 进到nginx源代码文件夹

[root@hobby ~]# cd /root/nginx-1.16.0

# 然后生成makefile，为编译做准备

[root@hobby nginx-1.16.0]# ./configure --user=www --group=www --prefix=/usr/local/nginx --with-http_ssl_module --with-http_stub_status_module --with-http_realip_module --with-threads --add-module=/root/ngx_http_proxy_connect_module

# 进行编译，切记，不要安装，即不要make install

[root@hobby nginx-1.16.0]# make

# 将生成的nginx可执行文件拷贝到原来的位置，覆盖原来的文件

[root@hobby nginx-1.16.0]# cp objs/nginx /usr/local/nginx/sbin/nginx

【七层方案nginx.conf文件配置】

server {
     listen 443 ssl;
     resolver 114.114.114.114;
     proxy_connect;
     proxy_connect_allow           443;
     proxy_connect_connect_timeout  10s;
     proxy_connect_read_timeout     10s;
     proxy_connect_send_timeout     10s;

    location / {
            proxy_pass https://$host;
            proxy_set_header Host $host;
        }
}

【中间人代理】

       从传输层透传应用层的流量，那么可不可以不建立http connect，将域名直接dns解析到代理服务器呢？随着时代的变迁，技术的发展，nginx的更新，这一切当然是可以的~

       nginx自战斗民族的老铁2004年发布以来，一直在不断的进步，到1.9.0版本开始支持ngx_stream_ssl_module模块了，编译安装并不会默认安装，需要带上--with-stream，yum会默认安装这个模块。

       那么这个时候问题来了，没了http connect，要怎么做呢？首先，在内网中，将dns域名解析到代理服务器上，这个时候你会问，解析到代理服务器上？客户端发送的可是https流量，代理没有ca证书，怎么解开？怎么可能读取https里面的信息呢？这个问题问的非常有水平，作为一名还未入流的白帽子，第一想法就是，既然没有，那就造一个噻。代理服务器和客户端商量好，你只要信任我的证书，直接把https流量发送给我，我帮你（假装是你）传达给你想传达但又没法直接传达的人（即服务端）。至于如何自建ca证书，请移步这里Openssl 自签CA根证书、SSL证书（单域名签发）和Openssl自签CA根证书、SSL证书（多域名签发）：

具体流程请看下图：

                                                                         【中间人代理https配置】

server {
    listen 443 ssl;
    server_name scwipe.cn;
           ssl_certificate     /etc/nginx/ca/scwipe.pem;
           ssl_certificate_key /etc/nginx/ca/scwipe.key;

           ssl_protocols    SSLv3 TLSv1 TLSv1.1 TLSv1.2;

           ssl_ciphers      ALL:!ADH:!EXPORT56:RC4+RSA:+HIGH:+MEDIUM:+LOW:+SSLv2:+EXP;
           ssl_prefer_server_ciphers on;
           ssl_session_timeout  10m;
           ssl_session_cache shared:SSL:10m;
           ssl_session_tickets off; # Requires nginx >= 1.5.9


        location / {
            proxy_redirect https://scwipe.cn/    /;
            proxy_pass https://scwipe.cn;
            proxy_set_header Host $host;
            proxy_set_header X-Real-IP $remote_addr;
            proxy_set_header REMOTE-HOST $remote_addr;
            proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
        }
}