SSL NGINX + SSL IIS Update

Мисбах-Соловьëв Вадим mva ÎÁ mva.name
ðÎ îÏÑ 14 11:33:17 UTC 2011


îÕ, ÓÕÄÑ ÐÏ ×ÓÅÍÕ (Ñ ÎÅ éÇÏÒØ, ËÏÎÅÞÎÏ, É ×Ï ×ÎÕÔÒÅÎÎÏÓÔÑÈ ÓÁÂÖÁ ÔÏÖÅ ÎÅ ËÏ×ÙÒÑÌÓÑ), ÐÅÒ×ÙÊ ÄÏÌÇÉÊ ÏÔ×ÅÔ - ÚÁÐÏÌÎÑÅÔÓÑ ËÅÛ. èÚ, ÐÏÞÅÍÕ ÄÏÌÇÏ.
åÓÌÉ ÍÅÖÄÕ ÓÅÒ×ÅÒÁÍÉ ÒÁÓÓÔÏÑÎÉÅ ÎÅÂÏÌØÛÏÅ - Ñ ÂÙ ÐÏÓÏ×ÅÔÏ×ÁÌ ÞÉÓÔÏ ÒÁÄÉ ÜËÓÐÒÉÍÅÎÔÁ ÕÂÒÁÔØ ËÅÛÉÒÏ×ÁÎÉÅ ÏÔ×ÅÔÁ ÂÅËÅÎÄÁ É ×Ó£ ÐÒÉÌÅÇÁÀÝÅÅ Ë ÎÅÍÕ.

š š  
On ÐÎ 14 ÎÏÑ 2011 18:14:03 KRAT, Fixid <nginx-forum ÎÁ nginx.us> wrote:

> úÄÒÁ×ÓÔ×ÕÊÔÅ, × ÌÏÇÁÈ ÓÎÏ×Ï ÐÏÑ×ÉÌÉÓØ
> ÔÁËÉÅ ÓÔÒÏÞËÉ:
> 
> - - [14/Nov/2011:12:04:53 +0300] "GET / HTTP/1.1" 302 154 "-"
> "Mozilla/5.0 (Windows NT 5.1; rv:8.0) Gecko/20100101 Firefox/8.0" "-"
> - - [14/Nov/2011:12:04:58 +0300] "-" 400 0 "-" "-" "-"
> - - [14/Nov/2011:12:05:20 +0300] "GET / HTTP/1.1" 200 4142 "-"
> "Mozilla/5.0 (Windows NT 5.1; rv:8.0) Gecko/20100101 Firefox/8.0" "-"
> 
> - - [14/Nov/2011:13:12:14 +0300] "-" 400 0 "-" "-" "-"
> - - [14/Nov/2011:13:12:37 +0300] "GET / HTTP/1.1" 200 4144 "-"
> "Mozilla/5.0 (Windows NT 5.1; rv:8.0) Gecko/20100101 Firefox/8.0" "-"
> 
> - - [14/Nov/2011:12:04:53 +0300] "GET / HTTP/1.1" 302 154 "-"
> "Mozilla/5.0 (Windows NT 5.1; rv:8.0) Gecko/20100101 Firefox/8.0" "-"
> - - [14/Nov/2011:12:04:58 +0300] "-" 400 0 "-" "-" "-"
> - - [14/Nov/2011:12:05:20 +0300] "GET / HTTP/1.1" 200 4142 "-"
> "Mozilla/5.0 (Windows NT 5.1; rv:8.0) Gecko/20100101 Firefox/8.0" "-"
> 
> 2011/11/14 14:02:24 [crit] 11819#0: *26 rename() "/var/www/0000000013"
> to "/var/www/" failed (20: Not a directory) while reading upstream,
> client: 111.222.333.444, server: www.test.com, request: "GET /
> HTTP/1.1", upstream: "https://IIS:500/", host: "www.test.com"
> 
> õÓÔÁÎÏ×ËÁ ÓÏÅÄÉÎÅÎÉÑ Ó ÓÁÊÔÏÍ ÉÄÅÔ
> ÏÞÅÎØ ÄÏÌÇÏ, ÐÏÔÏÍ ËÏÎÔÅÎÔ ÏÔÄÁÅÔÓÑ ÚÁ
> ÐÁÒÕ ÓÅËÕÎÄ.
> íÏÖÅÔÅ ÐÏÄÓËÁÚÁÔØ ËÁËÉÅ ÅÓÔØ ÏÛÉÂËÉ ×
> ËÏÎÆ ÆÁÊÌÁÈ? é ÞÔÏ ÍÏÖÎÏ ÅÝÅ ÐÏÄÐÒÁ×ÉÔØ
> ÄÌÑ ÕÓËÏÒÅÎÉÑ ÏÔËÌÉËÁ.
> IIS ÎÁ Win2008
> 
> nginx.conf:
> 
> useršš  nginx;
> worker_processesšš  4;
> worker_rlimit_nofile 100000;
> timer_resolution 100ms;
> 
> 
> error_logš šš  /var/log/nginx/error.log;
> #error_logšš  /var/log/nginx/error.logšš  notice;
> #error_logšš  /var/log/nginx/error.logšš  info;
> 
> pidš š š š š š šš  /var/run/nginx.pid;
> 
> 
> events {
>š š š šš  worker_connectionsšš  5024;
>š š š šš  use epoll;
> }
> 
> 
> http {
>š š š šš  includeš š š š š šš  /etc/nginx/mime.types;
>š š š šš  default_typešš  application/octet-stream;
> 
>š š š šš  log_formatšš  mainšš  '$remote_addr - $remote_user [$time_local]
> "$request" '
>š š š š š š š š š š š š š š š š š š š š š šš  '$status $body_bytes_sent "$http_referer" '
>š š š š š š š š š š š š š š š š š š š š š šš  '"$http_user_agent" "$http_x_forwarded_for"';
> 
>š š š šš  access_logšš  /var/log/nginx/access.logšš  main;
> 
>š š š šš  sendfileš š š š š š šš  on;
>š š š šš  tcp_nopushš š š š šš  on;
>š š š šš  tcp_nodelayš š š šš  on;
>š š š šš  server_tokensš šš  off;
>š š š šš  gzipš š š š š š š š š š šš  on;
>š š š šš  gzip_staticš š š šš  on;
>š š š šš  gzip_comp_level 5;
>š š š šš  gzip_min_length 1024;
>š š š šš  keepalive_timeoutšš  25;
>š š š šš  limit_zoneš šš  myzonešš  $binary_remote_addršš  10m;
> 
>š š š šš  # Load config files from the /etc/nginx/conf.d directory
>š š š šš  include /etc/nginx/conf.d/*.conf;
> 
>š š š šš  server {
>š š š š š š š šš  listen 80 default;
>š š š š š š š šš  rewrite ^ https://www.test.com/;
>š š š šš  }
> }
> 
> #
> # HTTPS server configuration
> #
> upstream backend-secure {
>š šš  server www.test.com:443;
>š šš  }
> 
> server {
>š š š šš  listenš š š š š šš  443 default;
>š š š šš  server_namešš  www.test.com ;
>š š š šš  server_tokens off;
>š š š šš  ##########################
>š š š šš  #šš  GZIP
>š š š šš  ##########################
>š š š šš  gzipš š š š š š š š š š š šš  on;
>š š š šš  gzip_min_lengthšš  15;
>š š š šš  gzip_buffers 16 8k;
>š š š šš  gzip_proxiedš š š šš  any;
>š š š šš  gzip_disableš š š šš  "msie6";
>š š š šš  gzip_comp_levelšš  5;
>š š š šš  #########################
>š š š šš  #šš  SSL
>š š š šš  #########################
>š š š šš  keepalive_timeout 60s;
>š š š šš  sendfileš š š š š š šš  on;
>š š š šš  tcp_nodelay on;
>š š š šš  expires 10s; #ÓËÏÌØËÏ ÈÒÁÎÉÔØ ËÜÛ
>š š š šš  sslš š š š š š š š š š š š š š š š šš  on;
>š š š šš  ssl_certificateš š š š šš  /etc/nginx/conf.d/certificate.cer;
>š š š šš  ssl_certificate_keyšš  /etc/nginx/conf.d/rsa.key;
> 
>š š š šš  ssl_session_cacheš š šš  shared:SSL:10m;
>š š š šš  ssl_session_timeoutšš  20m;
> 
>š š š šš  ssl_protocolsšš  SSLv2 SSLv3 TLSv1;
>š š š šš  ssl_ciphers 
> ALL:!ADH:!EXPORT56:RC4+RSA:+HIGH:+MEDIUM:+LOW:+SSLv2:+EXP;
>š š š šš  ssl_prefer_server_ciphersš šš  on;
> 
>š š š šš  if ($host = "test.com" ) {
>š š š šš  rewrite ^ https://www.test.com/;
> }
>š š š šš  location / {
>š š š š š š š šš  proxy_pass https://IIS:500/;
>š š š š š š š šš  proxy_redirect off;
>š š š š š š š šš  proxy_ignore_client_abort off;
>š š š š š š š šš  proxy_connect_timeout 600;
>š š š š š š š šš  proxy_send_timeout 600;
>š š š š š š š šš  proxy_read_timeout 600;
>š š š š š š š šš  proxy_ignore_headers Expires Cache-Control;
>š š š š š š š šš  proxy_hide_header Vary;
>š š š š š š š šš  proxy_ssl_session_reuse on;
>š š š š š š š šš  proxy_set_header Host $host;
>š š š š š š š šš  proxy_set_header X-Real-IP $remote_addr;
>š š š š š š š šš  proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
>š š š š š š š šš  # ËÜÛ ÏÔ×ÅÔÁ ÂÜËÜÎÄÁ
>š š š š š š š šš  proxy_store on;
>š š š š š š š šš  proxy_store_access user:rw group:rw all:r;
>š š š š š š š šš  proxy_temp_path /var/www/;
>š š š š š š š šš  root /var/www/;
>š š š š š š š šš  ########################
>š š š š š š š šš  # proxy
>š š š š š š š šš  #######################
>š š š š š š š šš  #proxy_cache on;
>š š š šš  }
> 
>š š š šš  #######################
>š š š šš  #šš  Statistic
>š š š šš  #######################
>š š š šš  location = /stat {
>š š š š š š š šš  stub_status on;
>š š š š š š š šš  access_logšš  off;
>š š š š š š š šš  allow 111.222.333.444;
>š š š š š š š šš  deny all;
>š š š šš  }
> }
> 
> Posted at Nginx Forum:
> http://forum.nginx.org/read.php?21,218301,218301#msg-218301
> 
> _______________________________________________
> nginx-ru mailing list
> nginx-ru ÎÁ nginx.org
> http://mailman.nginx.org/mailman/listinfo/nginx-ru

-- 
ó Õ×ÁÖÅÎÉÅÍ,
mva



ðÏÄÒÏÂÎÁÑ ÉÎÆÏÒÍÁÃÉÑ Ï ÓÐÉÓËÅ ÒÁÓÓÙÌËÉ nginx-ru