#c_sharp #nginx #aspnet_core #net_core #kestrel
Есть веб-приложение на .NET Core. По умолчанию в нем используется Kestrel, имеющий
всю необходимую для работы приложения базовую функциональность, в пом числе использование
https. Но сам MS советует использовать другие веб-серверы (IIS, Apache, Nginx) для
расширения возможностей взаимодействия с веб-службами, в т.ч. в качестве reverse proxy.
В связи с чем возник такой вопрос - необходимо ли включать поддержку https в Kestrel,
или же достаточно будет включить ее в Nginx и передавать запросы на Kestrel по http?
Примерный конфиг Nginx в рамках данного вопроса:
server {
listen 80;
return 301 https://$host$request_uri;
}
server {
listen 443 ssl;
ssl_certificate /etc/nginx/cert.crt;
ssl_certificate_key /etc/nginx/cert.key;
ssl_session_cache builtin:1000 shared:SSL:10m;
ssl_protocols TLSv1 TLSv1.1 TLSv1.2;
ssl_ciphers HIGH:!aNULL:!eNULL:!EXPORT:!CAMELLIA:!DES:!MD5:!PSK:!RC4;
ssl_prefer_server_ciphers on;
location / {
proxy_set_header Host $host;
proxy_set_header X-Real-IP $remote_addr;
proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
proxy_set_header X-Forwarded-Proto $scheme;
proxy_pass http://kestrel;
proxy_read_timeout 90;
}
}
Ответы
Ответ 1
Для работоспособности достаточно включить HTTPS на Nginx. HTTPS между реверс-прокси и сервером приложений не обязателен, но его следует использовать из соображений безопасности. Угрозы такие: прослушивание TCP трафика MITM-атаки Если таких угроз нет, HTTPS между Nginx и Kestrel как таковой не нужен. Сюда можно отнести такие частные случаи: оба демона находятся на одном сервере, доступ к серверу только у доверенных трафик ходит внутри DMZ
Комментариев нет:
Отправить комментарий