Nginx 技巧：使用 proxy_ssl on 指令進行 SSL 上游連接

Nginx 是一款高效能的網頁伺服器，廣泛應用於反向代理、負載均衡及 HTTP 快取等場景。在許多情況下，Nginx 需要與其他伺服器進行安全的 SSL 連接，這時候就可以使用 proxy_ssl 指令來配置 SSL 上游連接。本文將深入探討如何使用 proxy_ssl 指令來實現安全的上游連接，並提供一些實用的範例和技巧。

什麼是 proxy_ssl 指令？

proxy_ssl 指令是 Nginx 中用於配置與上游伺服器之間的 SSL 連接的指令。當 Nginx 作為反向代理伺服器時，可能需要將請求轉發到其他伺服器，這些伺服器可能使用 HTTPS 協議。透過 proxy_ssl 指令，Nginx 可以安全地與這些上游伺服器進行通信。

基本配置

要使用 proxy_ssl 指令，首先需要在 Nginx 的配置文件中設置上游伺服器。以下是一個基本的配置範例：

http {
    upstream backend {
        server backend1.example.com:443;
        server backend2.example.com:443;
    }

    server {
        listen 80;
        server_name example.com;

        location / {
            proxy_pass https://backend;
            proxy_ssl on;  # 啟用 SSL
            proxy_ssl_certificate /path/to/cert.pem;  # 設定 SSL 憑證
            proxy_ssl_certificate_key /path/to/key.pem;  # 設定 SSL 憑證金鑰
            proxy_ssl_trusted_certificate /path/to/ca.pem;  # 設定受信任的 CA 憑證
        }
    }
}

proxy_ssl 的重要指令

• proxy_ssl on;：啟用 SSL 上游連接。
• proxy_ssl_certificate：指定用於與上游伺服器進行 SSL 連接的憑證。
• proxy_ssl_certificate_key：指定憑證的金鑰。
• proxy_ssl_trusted_certificate：指定受信任的 CA 憑證，以驗證上游伺服器的 SSL 憑證。
• proxy_ssl_session_reuse：控制是否重用 SSL 會話。

進階配置技巧

在某些情況下，您可能需要進一步自定義 SSL 連接的行為。以下是一些進階配置技巧：

1. 設定 SSL 版本

您可以使用 proxy_ssl_protocols 指令來指定允許的 SSL/TLS 協議版本：

proxy_ssl_protocols TLSv1.2 TLSv1.3;

2. 設定加密套件

使用 proxy_ssl_ciphers 指令來指定可用的加密套件：

proxy_ssl_ciphers HIGH:!aNULL:!MD5;

3. 啟用 SSL 會話重用

透過 proxy_ssl_session_reuse on;，可以提高性能，減少 SSL 握手的開銷。

測試與故障排除

在配置完成後，建議使用 nginx -t 命令來測試配置文件的正確性。如果遇到問題，可以查看 Nginx 的錯誤日誌，通常位於 /var/log/nginx/error.log。

總結

使用 Nginx 的 proxy_ssl 指令可以有效地實現與上游伺服器的安全 SSL 連接。透過正確的配置，您可以確保數據在傳輸過程中的安全性和完整性。無論是基本的 SSL 配置還是進階的自定義選項，Nginx 都提供了靈活的解決方案來滿足不同的需求。

如果您正在尋找高效能的 香港 VPS 解決方案，Server.HK 提供多種選擇，滿足您的需求。無論是網站托管還是應用程式部署，我們的 伺服器 都能為您提供穩定的支持。