NGINX y NGINX Plus ofrecen una serie de características que le permiten gestionar la mayoría de los requisitos SSL/TLS. Utilizan OpenSSL y la potencia de los chips de procesador estándar para proporcionar un rendimiento SSL/TLS rentable. A medida que la potencia de los chips de procesador estándar continúa aumentando y los proveedores de chips agregan soporte de aceleración criptográfica, la ventaja de costo de usar chips de procesador estándar en lugar de chips SSL/TLS especializados también continúa ampliándose.
Hay tres casos de uso principales para NGINX y NGINX Plus con SSL/TLS.
Cuando se utiliza NGINX como proxy, puede descargar el procesamiento de descifrado SSL de los servidores back-end. Existen varias ventajas al realizar el descifrado en el proxy:
Para obtener más detalles, consulte Terminación SSL de NGINX en la Guía de administración de NGINX Plus.
Hay ocasiones en las que es posible que necesites que NGINX encripte el tráfico que envía a los servidores back-end. Estas solicitudes pueden llegar al servidor NGINX como texto simple o como tráfico cifrado que NGINX debe descifrar para tomar una decisión de enrutamiento. El uso de un grupo de conexiones keepalive a los servidores backend minimiza la cantidad de protocolos de enlace SSL/TLS y, por lo tanto, maximiza el rendimiento de SSL/TLS. Esto se logra de manera muy sencilla configurando NGINX para que utilice como proxy “https” de modo que encripte automáticamente el tráfico que aún no esté encriptado.
Debido a que NGINX puede realizar tanto cifrado como descifrado, puede lograr un cifrado de extremo a extremo de todas las solicitudes mientras NGINX sigue tomando decisiones de enrutamiento de capa 7. En este caso, los clientes se comunican con NGINX a través de HTTPS, y este descifra las solicitudes y luego las vuelve a cifrar antes de enviarlas a los servidores backend. Esto puede ser deseable cuando el servidor proxy no está ubicado en un centro de datos junto con los servidores back-end. A medida que más y más servidores se trasladan a la nube, se hace más necesario utilizar HTTPS entre un proxy y servidores back-end.
NGINX puede manejar certificados de cliente SSL/TLS y puede configurarse para hacerlos opcionales u obligatorios . Los certificados de cliente son una forma de restringir el acceso a sus sistemas solo a clientes previamente aprobados sin requerir una contraseña, y puede controlar los certificados agregando certificados revocados a una lista de revocación de certificados (CRL), que NGINX verifica para determinar si un certificado de cliente aún es válido.
Hay una serie de otras características que ayudan a respaldar estos casos de uso, incluidas (entre otras) las siguientes:
Para obtener más detalles, consulte estos recursos:
A continuación se muestran algunos ejemplos de las características de seguridad de NGINX. Estos ejemplos suponen una comprensión básica de la configuración de NGINX.
La siguiente configuración maneja el tráfico HTTP para www.example.com y lo envía a un grupo ascendente:
backends ascendentes {
servidor 192.168.100.100:80;
servidor 192.168.100.101:80;
}
servidor {
escucha 80;
nombre_servidor www.ejemplo.com;
ubicación / {
contraseña_proxy http://backends;
}
}
Ahora agregue soporte HTTPS, para que NGINX descifre el tráfico usando el certificado y la clave privada y se comunique con los servidores back-end a través de HTTP:
backends ascendentes { servidor 192.168.100.100:80; servidor 192.168.100.101:80; } servidor { escuchar 80; escuchar 443 ssl ; # El parámetro 'ssl' le dice a NGINX que descifre el tráfico server_name www.example.com; ssl_certificate www.example.com.crt ; # El archivo de certificado ssl_certificate_key www.example.com.key ; # El archivo de clave privada location / { proxy_pass http://backends; } }
O si en cambio recibe tráfico a través de HTTP y lo envía a los servidores backend a través de HTTPS:
backends ascendentes { servidor 192.168.100.100:443; servidor 192.168.100.101:443; } servidor { escuchar 80; nombre_servidor www.ejemplo.com; ubicación / { contraseña_proxy https ://backends; # El prefijo 'https' le dice a NGINX que encripte el tráfico } }
Para probar NGINX Plus, comience hoy su prueba gratuita de 30 días o contáctenos para analizar sus casos de uso.
"Esta publicación de blog puede hacer referencia a productos que ya no están disponibles o que ya no reciben soporte. Para obtener la información más actualizada sobre los productos y soluciones F5 NGINX disponibles, explore nuestra familia de productos NGINX . NGINX ahora es parte de F5. Todos los enlaces anteriores de NGINX.com redirigirán a contenido similar de NGINX en F5.com.