乗客2.2.4、nginx0.7.61およびSSL
誰かがSSLでPassengerとnginxを設定する運がありましたか?ネット上にあるリソースの数を使用して、この構成を希望どおりに機能させるために何時間も費やしましたが、転送されたと思われるヘッダーをRailsコントローラー。
たとえば、次のconfファイル(およびその複数のバリエーション)を使用します。
server {
listen 3000;
server_name .example.com;
root /Users/website/public;
passenger_enabled on;
Rails_env development;
}
server {
listen 3443;
root /Users/website/public;
Rails_env development;
passenger_enabled on;
ssl on;
#ssl_verify_client on;
ssl_certificate /Users/website/ssl/server.crt;
ssl_certificate_key /Users/website/ssl/server.key;
#ssl_client_certificate /Users/website/ssl/CA.crt;
ssl_session_timeout 5m;
ssl_protocols SSLv3 TLSv1;
ssl_ciphers ALL:!ADH:RC4+RSA:+HIGH:+MEDIUM:-LOW:-SSLv2:-EXP;
proxy_set_header Host $http_Host;
proxy_set_header X-Real-IP $remote_addr;
proxy_set_header X_FORWARDED_PROTO https;
proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
#proxy_set_header X-SSL-Subject $ssl_client_s_dn;
#proxy_set_header X-SSL-Issuer $ssl_client_i_dn;
proxy_redirect off;
proxy_max_temp_file_size 0;
}
およびRailsは、次のようなコントローラーのコードです。
request.headers.each { |k, v|
Rails_DEFAULT_LOGGER.error "Header #{k} Val #{v}"
}
他のヘッダーは表示されますが、nginxで設定されたヘッダーは表示されません。例:
Header rack.multithread Val false
Header REQUEST_URI Val /login/new
Header REMOTE_PORT Val 64021
Header rack.multiprocess Val true
Header PASSENGER_USE_GLOBAL_QUEUE Val false
Header PASSENGER_APP_TYPE Val Rails
Header SCGI Val 1
Header SERVER_PORT Val 3443
Header HTTP_ACCEPT_CHARSET Val ISO-8859-1,utf-8;q=0.7,*;q=0.7
Header rack.request.query_hash Val
Header DOCUMENT_ROOT Val /Users/website/public
Passengerのabstract_request_handlerのmain_loopメソッドを変更することさえしました。つまり、
headers, input = parse_request(client)
if headers
if headers[REQUEST_METHOD] == PING
process_ping(headers, input, client)
else
headers.each { |h,v|
log.unknown "abstract_request_handler: #{h} = #{v}"
}
process_request(headers, input, client)
end
end
おそらく追加されたヘッダーがそこにも存在しないことを見つけるためだけに:
abstract_request_handler: HTTP_KEEP_ALIVE = 300
abstract_request_handler: HTTP_USER_AGENT = Mozilla/5.0 (Macintosh; U; Intel Mac OS X 10.5; en-US; rv:1.9.1) Gecko/20090624 Firefox/3.5
abstract_request_handler: PASSENGER_SPAWN_METHOD = smart-lv2
abstract_request_handler: CONTENT_LENGTH = 0
abstract_request_handler: HTTP_IF_NONE_MATCH = "b6e8b9afbc1110ee3bf0c87e119252ad"
abstract_request_handler: HTTP_ACCEPT_LANGUAGE = en-us,en;q=0.5
abstract_request_handler: SERVER_PROTOCOL = HTTP/1.1
abstract_request_handler: HTTPS = on
abstract_request_handler: REMOTE_ADDR = 127.0.0.1
abstract_request_handler: SERVER_SOFTWARE = nginx/0.7.61
abstract_request_handler: SERVER_ADDR = 127.0.0.1
abstract_request_handler: SCRIPT_NAME =
abstract_request_handler: PASSENGER_ENVIRONMENT = development
abstract_request_handler: REMOTE_PORT = 64021
abstract_request_handler: REQUEST_URI = /login/new
abstract_request_handler: HTTP_ACCEPT_CHARSET = ISO-8859-1,utf-8;q=0.7,*;q=0.7
abstract_request_handler: SERVER_PORT = 3443
abstract_request_handler: SCGI = 1
abstract_request_handler: PASSENGER_APP_TYPE = Rails
abstract_request_handler: PASSENGER_USE_GLOBAL_QUEUE = false
壁に頭をぶつけるのにうんざりしているので、助けていただければ幸いです。
Passenger 3は、passenger_set_cgi_paramのように動作する新しいディレクティブproxy_set_headerを使用してこの機能を実装します。
たとえば、SSL変数をRackに渡すには、次のようにします。
server {
listen 443 default ssl;
# other SSL stuff goes here
# other passenger stuff here
passenger_set_cgi_param X_FORWARDED_PROTO https;
passenger_set_cgi_param X-SSL-Raw-Cert $ssl_client_raw_cert;
passenger_set_cgi_param X-SSL-Cert $ssl_client_cert;
passenger_set_cgi_param X-SSL-Client-S-DN $ssl_client_s_dn;
passenger_set_cgi_param X-SSL-Client-I-DN $ssl_client_i_dn;
passenger_set_cgi_param X-SSL-Client-Verify $ssl_client_verify;
}
これで、X-SSL-Raw-CertおよびRack::Requestインスタンスのその他のヘッダーにアクセスできるようになります(コントローラーの#requestからアクセスできます)。
それはまだ文書化されていませんが、ここにいくつかのより多くの情報があります:
乗客はプロキシと同じではなく、何らかの方法でSCGIを使用します。私が思いついた唯一の回避策は、別の(保護された)ポートでnginxを介してプロキシバックすることです。理想からは程遠いですが、機能します。
乗客の問題371に「スター」を追加することをお勧めします。 http://code.google.com/p/phusion-passenger/issues/detail?id=371
うーん... proxy_set_headerがもう一度使用される場所ディレクティブがありますか?
Fastcgiやproxy_set_headerのような配列ディレクティブは、下位レベルで変更された場合、上位レベルから継承されないため、私は尋ねています。サーバーレベルでproxy_set_headerを宣言するため、たとえば「location」などの下位レベルにある他のproxy_set_headerディレクティブは、最新のディレクティブを除いて、このレベルでこれまでに宣言されたすべてのものをクリーンアップします。