O NGINX e o NGINX Plus oferecem uma série de recursos que permitem lidar com a maioria dos requisitos de SSL/TLS. Eles usam OpenSSL e o poder dos chips de processador padrão para fornecer desempenho SSL/TLS econômico. À medida que o poder dos chips de processador padrão continua a aumentar e os fornecedores de chips adicionam suporte à aceleração criptográfica, a vantagem de custo do uso de chips de processador padrão em vez de chips SSL/TLS especializados também continua a aumentar.
Há três casos de uso principais para NGINX e NGINX Plus com SSL/TLS.
Quando o NGINX é usado como proxy, ele pode descarregar o processamento de descriptografia SSL dos servidores de backend. Há uma série de vantagens em fazer a descriptografia no proxy:
Para mais detalhes, consulte Terminação SSL do NGINX no Guia de administração do NGINX Plus.
Há momentos em que você pode precisar que o NGINX criptografe o tráfego que ele envia para servidores de backend. Essas solicitações podem chegar ao servidor NGINX como texto simples ou como tráfego criptografado que o NGINX deve descriptografar para tomar uma decisão de roteamento. Usar um pool de conexões keepalive com os servidores de backend minimiza o número de handshakes SSL/TLS e, portanto, maximiza o desempenho do SSL/TLS. Isso é obtido de forma muito simples configurando o NGINX para fazer proxy para “https” para que ele criptografe automaticamente o tráfego que ainda não está criptografado.
Como o NGINX pode fazer tanto a descriptografia quanto a criptografia, você pode obter criptografia de ponta a ponta de todas as solicitações com o NGINX ainda tomando decisões de roteamento da Camada 7. Neste caso, os clientes se comunicam com o NGINX por HTTPS, e ele descriptografa as solicitações e as criptografa novamente antes de enviá-las aos servidores de backend. Isso pode ser desejável quando o servidor proxy não está colocalizado em um data center com os servidores de backend. À medida que mais e mais servidores são movidos para a nuvem, torna-se mais necessário usar HTTPS entre um proxy e servidores de backend.
O NGINX pode manipular certificados de cliente SSL/TLS e pode ser configurado para torná-los opcionais ou obrigatórios . Os certificados de cliente são uma maneira de restringir o acesso aos seus sistemas somente a clientes pré-aprovados, sem exigir uma senha, e você pode controlar os certificados adicionando certificados revogados a uma lista de revogação de certificados (CRL), que o NGINX verifica para determinar se um certificado de cliente ainda é válido.
Há vários outros recursos que ajudam a dar suporte a esses casos de uso, incluindo (mas não se limitando a) os seguintes:
Para mais detalhes, confira estes recursos:
Aqui estão alguns exemplos de recursos de segurança do NGINX. Esses exemplos pressupõem uma compreensão básica da configuração do NGINX.
A configuração a seguir manipula o tráfego HTTP para www.example.com e o envia por proxy para um grupo upstream:
backends upstream {
servidor 192.168.100.100:80;
servidor 192.168.100.101:80;
}
servidor {
ouvir 80;
nome_do_servidor www.example.com;
localização / {
senha_do_proxy http://backends;
}
}
Agora adicione suporte a HTTPS para que o NGINX descriptografe o tráfego usando o certificado e a chave privada e se comunique com os servidores de backend via HTTP:
backends upstream { server 192.168.100.100:80; server 192.168.100.101:80; } server { listen 80; listen 443 ssl ; # O parâmetro 'ssl' informa ao NGINX para descriptografar o tráfego server_name www.example.com; ssl_certificate www.example.com.crt ; # O arquivo de certificado ssl_certificate_key www.example.com.key ; # O arquivo de chave privada location / { proxy_pass http://backends; } }
Ou se você receber tráfego por HTTP e enviá-lo aos servidores de backend por HTTPS:
backends upstream { server 192.168.100.100:443; server 192.168.100.101:443; } server { listen 80; server_name www.example.com; location / { proxy_pass https ://backends; # O prefixo 'https' informa ao NGINX para criptografar o tráfego } }
Para experimentar o NGINX Plus, comece hoje mesmo seu teste gratuito de 30 dias ou entre em contato conosco para discutir seus casos de uso.
"Esta postagem do blog pode fazer referência a produtos que não estão mais disponíveis e/ou não têm mais suporte. Para obter as informações mais atualizadas sobre os produtos e soluções F5 NGINX disponíveis, explore nossa família de produtos NGINX . O NGINX agora faz parte do F5. Todos os links anteriores do NGINX.com redirecionarão para conteúdo semelhante do NGINX no F5.com."