SSLアクセラレータとして利用しているNginxのバックエンド通信確認

NginxをSSLアクセラレータとして利用しており、バックエンドのサーバとの通信にHTTPSを利用しております。

<nginx.conf>
upstream cluster_1 {
 server 10.10.10.1:443;
 server 10.10.10.2:443;
 server 10.10.10.3:443;
 server 10.10.10.4:443;
}
server {
 listen 443 ssl;
 ssl on;
location / {
 proxy_pass https://cluster_1;
 ...

で、これまでバックエンド側のサーバにSSL証明書を置いてSSL終端していたんですが、Nginx側で終端する構成に変更しました。Nginx側のSSL証明書を更新し、正常にバックエンドに接続できることを確認することができたのですが、Nginx〜バックエンドサーバ間はIPアドレス指定で振り分けを実施しているので、SSL証明書の有無は関係なく、問題ないと言い切ってもよいものでしょうか。

バックエンド側のサーバの証明書期限が切れた際に、影響がないことを確認したいのですが、良い方法はありますでしょうか。

お詳しい方、ご教示頂ける方がいれば何卒よろしくお願い致します。

行動規範の内容に同意します

回答1件

ベストアンサー

proxy_ssl_verify 設定で、バックエンドのサーバー証明書の検証を行なうかどうかを切り替えます。

(検証を行なう場合の設定例)
location / { 
    proxy_pass https://cluster_1;
    proxy_ssl_verify on;
    proxy_ssl_trusted_certificate /etc/pki/tls/certs/ca-bundle.crt;
}

デフォルトでは proxy_ssl_verify off ですので、バックエンドのサーバー証明書の検証を行ないません。

投稿2016/03/31 01:56