SSL NGINX + SSL IIS Update
Мисбах-Соловьëв Вадим
mva ÎÁ mva.name
ðÎ îÏÑ 14 11:33:17 UTC 2011
îÕ, ÓÕÄÑ ÐÏ ×ÓÅÍÕ (Ñ ÎÅ éÇÏÒØ, ËÏÎÅÞÎÏ, É ×Ï ×ÎÕÔÒÅÎÎÏÓÔÑÈ ÓÁÂÖÁ ÔÏÖÅ ÎÅ ËÏ×ÙÒÑÌÓÑ), ÐÅÒ×ÙÊ ÄÏÌÇÉÊ ÏÔ×ÅÔ - ÚÁÐÏÌÎÑÅÔÓÑ ËÅÛ. èÚ, ÐÏÞÅÍÕ ÄÏÌÇÏ.
åÓÌÉ ÍÅÖÄÕ ÓÅÒ×ÅÒÁÍÉ ÒÁÓÓÔÏÑÎÉÅ ÎÅÂÏÌØÛÏÅ - Ñ ÂÙ ÐÏÓÏ×ÅÔÏ×ÁÌ ÞÉÓÔÏ ÒÁÄÉ ÜËÓÐÒÉÍÅÎÔÁ ÕÂÒÁÔØ ËÅÛÉÒÏ×ÁÎÉÅ ÏÔ×ÅÔÁ ÂÅËÅÎÄÁ É ×Ó£ ÐÒÉÌÅÇÁÀÝÅÅ Ë ÎÅÍÕ.
š š
On ÐÎ 14 ÎÏÑ 2011 18:14:03 KRAT, Fixid <nginx-forum ÎÁ nginx.us> wrote:
> úÄÒÁ×ÓÔ×ÕÊÔÅ, × ÌÏÇÁÈ ÓÎÏ×Ï ÐÏÑ×ÉÌÉÓØ
> ÔÁËÉÅ ÓÔÒÏÞËÉ:
>
> - - [14/Nov/2011:12:04:53 +0300] "GET / HTTP/1.1" 302 154 "-"
> "Mozilla/5.0 (Windows NT 5.1; rv:8.0) Gecko/20100101 Firefox/8.0" "-"
> - - [14/Nov/2011:12:04:58 +0300] "-" 400 0 "-" "-" "-"
> - - [14/Nov/2011:12:05:20 +0300] "GET / HTTP/1.1" 200 4142 "-"
> "Mozilla/5.0 (Windows NT 5.1; rv:8.0) Gecko/20100101 Firefox/8.0" "-"
>
> - - [14/Nov/2011:13:12:14 +0300] "-" 400 0 "-" "-" "-"
> - - [14/Nov/2011:13:12:37 +0300] "GET / HTTP/1.1" 200 4144 "-"
> "Mozilla/5.0 (Windows NT 5.1; rv:8.0) Gecko/20100101 Firefox/8.0" "-"
>
> - - [14/Nov/2011:12:04:53 +0300] "GET / HTTP/1.1" 302 154 "-"
> "Mozilla/5.0 (Windows NT 5.1; rv:8.0) Gecko/20100101 Firefox/8.0" "-"
> - - [14/Nov/2011:12:04:58 +0300] "-" 400 0 "-" "-" "-"
> - - [14/Nov/2011:12:05:20 +0300] "GET / HTTP/1.1" 200 4142 "-"
> "Mozilla/5.0 (Windows NT 5.1; rv:8.0) Gecko/20100101 Firefox/8.0" "-"
>
> 2011/11/14 14:02:24 [crit] 11819#0: *26 rename() "/var/www/0000000013"
> to "/var/www/" failed (20: Not a directory) while reading upstream,
> client: 111.222.333.444, server: www.test.com, request: "GET /
> HTTP/1.1", upstream: "https://IIS:500/", host: "www.test.com"
>
> õÓÔÁÎÏ×ËÁ ÓÏÅÄÉÎÅÎÉÑ Ó ÓÁÊÔÏÍ ÉÄÅÔ
> ÏÞÅÎØ ÄÏÌÇÏ, ÐÏÔÏÍ ËÏÎÔÅÎÔ ÏÔÄÁÅÔÓÑ ÚÁ
> ÐÁÒÕ ÓÅËÕÎÄ.
> íÏÖÅÔÅ ÐÏÄÓËÁÚÁÔØ ËÁËÉÅ ÅÓÔØ ÏÛÉÂËÉ ×
> ËÏÎÆ ÆÁÊÌÁÈ? é ÞÔÏ ÍÏÖÎÏ ÅÝÅ ÐÏÄÐÒÁ×ÉÔØ
> ÄÌÑ ÕÓËÏÒÅÎÉÑ ÏÔËÌÉËÁ.
> IIS ÎÁ Win2008
>
> nginx.conf:
>
> useršš nginx;
> worker_processesšš 4;
> worker_rlimit_nofile 100000;
> timer_resolution 100ms;
>
>
> error_logš šš /var/log/nginx/error.log;
> #error_logšš /var/log/nginx/error.logšš notice;
> #error_logšš /var/log/nginx/error.logšš info;
>
> pidš š š š š š šš /var/run/nginx.pid;
>
>
> events {
>š š š šš worker_connectionsšš 5024;
>š š š šš use epoll;
> }
>
>
> http {
>š š š šš includeš š š š š šš /etc/nginx/mime.types;
>š š š šš default_typešš application/octet-stream;
>
>š š š šš log_formatšš mainšš '$remote_addr - $remote_user [$time_local]
> "$request" '
>š š š š š š š š š š š š š š š š š š š š š šš '$status $body_bytes_sent "$http_referer" '
>š š š š š š š š š š š š š š š š š š š š š šš '"$http_user_agent" "$http_x_forwarded_for"';
>
>š š š šš access_logšš /var/log/nginx/access.logšš main;
>
>š š š šš sendfileš š š š š š šš on;
>š š š šš tcp_nopushš š š š šš on;
>š š š šš tcp_nodelayš š š šš on;
>š š š šš server_tokensš šš off;
>š š š šš gzipš š š š š š š š š š šš on;
>š š š šš gzip_staticš š š šš on;
>š š š šš gzip_comp_level 5;
>š š š šš gzip_min_length 1024;
>š š š šš keepalive_timeoutšš 25;
>š š š šš limit_zoneš šš myzonešš $binary_remote_addršš 10m;
>
>š š š šš # Load config files from the /etc/nginx/conf.d directory
>š š š šš include /etc/nginx/conf.d/*.conf;
>
>š š š šš server {
>š š š š š š š šš listen 80 default;
>š š š š š š š šš rewrite ^ https://www.test.com/;
>š š š šš }
> }
>
> #
> # HTTPS server configuration
> #
> upstream backend-secure {
>š šš server www.test.com:443;
>š šš }
>
> server {
>š š š šš listenš š š š š šš 443 default;
>š š š šš server_namešš www.test.com ;
>š š š šš server_tokens off;
>š š š šš ##########################
>š š š šš #šš GZIP
>š š š šš ##########################
>š š š šš gzipš š š š š š š š š š š šš on;
>š š š šš gzip_min_lengthšš 15;
>š š š šš gzip_buffers 16 8k;
>š š š šš gzip_proxiedš š š šš any;
>š š š šš gzip_disableš š š šš "msie6";
>š š š šš gzip_comp_levelšš 5;
>š š š šš #########################
>š š š šš #šš SSL
>š š š šš #########################
>š š š šš keepalive_timeout 60s;
>š š š šš sendfileš š š š š š šš on;
>š š š šš tcp_nodelay on;
>š š š šš expires 10s; #ÓËÏÌØËÏ ÈÒÁÎÉÔØ ËÜÛ
>š š š šš sslš š š š š š š š š š š š š š š š šš on;
>š š š šš ssl_certificateš š š š šš /etc/nginx/conf.d/certificate.cer;
>š š š šš ssl_certificate_keyšš /etc/nginx/conf.d/rsa.key;
>
>š š š šš ssl_session_cacheš š šš shared:SSL:10m;
>š š š šš ssl_session_timeoutšš 20m;
>
>š š š šš ssl_protocolsšš SSLv2 SSLv3 TLSv1;
>š š š šš ssl_ciphers
> ALL:!ADH:!EXPORT56:RC4+RSA:+HIGH:+MEDIUM:+LOW:+SSLv2:+EXP;
>š š š šš ssl_prefer_server_ciphersš šš on;
>
>š š š šš if ($host = "test.com" ) {
>š š š šš rewrite ^ https://www.test.com/;
> }
>š š š šš location / {
>š š š š š š š šš proxy_pass https://IIS:500/;
>š š š š š š š šš proxy_redirect off;
>š š š š š š š šš proxy_ignore_client_abort off;
>š š š š š š š šš proxy_connect_timeout 600;
>š š š š š š š šš proxy_send_timeout 600;
>š š š š š š š šš proxy_read_timeout 600;
>š š š š š š š šš proxy_ignore_headers Expires Cache-Control;
>š š š š š š š šš proxy_hide_header Vary;
>š š š š š š š šš proxy_ssl_session_reuse on;
>š š š š š š š šš proxy_set_header Host $host;
>š š š š š š š šš proxy_set_header X-Real-IP $remote_addr;
>š š š š š š š šš proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
>š š š š š š š šš # ËÜÛ ÏÔ×ÅÔÁ ÂÜËÜÎÄÁ
>š š š š š š š šš proxy_store on;
>š š š š š š š šš proxy_store_access user:rw group:rw all:r;
>š š š š š š š šš proxy_temp_path /var/www/;
>š š š š š š š šš root /var/www/;
>š š š š š š š šš ########################
>š š š š š š š šš # proxy
>š š š š š š š šš #######################
>š š š š š š š šš #proxy_cache on;
>š š š šš }
>
>š š š šš #######################
>š š š šš #šš Statistic
>š š š šš #######################
>š š š šš location = /stat {
>š š š š š š š šš stub_status on;
>š š š š š š š šš access_logšš off;
>š š š š š š š šš allow 111.222.333.444;
>š š š š š š š šš deny all;
>š š š šš }
> }
>
> Posted at Nginx Forum:
> http://forum.nginx.org/read.php?21,218301,218301#msg-218301
>
> _______________________________________________
> nginx-ru mailing list
> nginx-ru ÎÁ nginx.org
> http://mailman.nginx.org/mailman/listinfo/nginx-ru
--
ó Õ×ÁÖÅÎÉÅÍ,
mva
ðÏÄÒÏÂÎÁÑ ÉÎÆÏÒÍÁÃÉÑ Ï ÓÐÉÓËÅ ÒÁÓÓÙÌËÉ nginx-ru