一、引言

nginx 是否支援將http請求轉發為https支援ssl雙向認證，網上沒什麼用例可以參考，查詢各大開發運維社群了下有幾種說法

• 支援：
• 不支援：
• 不清楚家祭不忘告乃翁：

N多種方法，按照以上支援的小夥伴的說法，一種種去嘗試（雖然發現各種不合理，完全沒有涉及到客戶端金鑰對的使用的說法的），但是還是堅定的一種種去嘗試了，做法都圍繞著以下幾個關鍵

• retrun 301
• rewrite
• listen 443 ssl;
  ssl_certificate www.example.com.crt;
  ssl_certificate_key www.example.com.key;

然而我發現，上面說的都不是做為支援SSL雙向認證的正向代理

• retrun 301
• rewrite

以上的做法是請求重定向，並沒有起到多大作用

• listen 443 ssl;
  ssl_certificate www.example.com.crt;
  ssl_certificate_key www.example.com.key;

  此類配置是Ngnix配置一個https server，證書金鑰對配置的是服務端的證書，並不是作為客戶端代理的配置

• ssl_client_certificate on;
  ssl_client_certificate ca.cer;

  此類配置的是Nginx的https server要求進水SSL客戶證書認證，也就算此服務要求進行SSL雙向認證，ca.cer是簽發客戶證書的CA證書，用來驗證客戶證書。

proxy_pass 這個是代理配置項是正確的做法，然而網上並沒有相關ssl雙向認證的使用用例

二、發掘官方文件

沒有相關使用案例就自己上官方文件發掘，檢視ngx_http_proxy_module的相關配置

發現以下配置專案

• proxy_ssl_certificate
• proxy_ssl_certificate_key

毫無疑問這個就是我們要尋找的配置內容，配置客戶端證書金鑰對的配置專案,在本地開啟一個要求進行ssl雙向認證的的https server，生成好相關證書和金鑰，進行測試

    server {
        listen       0.0.0.0:9999;
        #server_name localhost;
        access_log  off;
        location / {
            proxy_set_header Host $host;
            proxy_set_header X-Real-IP $remote_addr;
            proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
            proxy_redirect    off; 
            proxy_ssl_certificate        certs/client.cer;
            proxy_ssl_certificate_key    certs/client.key;
            proxy_pass   https://127.0.0.1:8443$request_uri;
        }
    }

三、測試用例

curl -d 'params=aaa' http://127.0.0.1:9999/index.json

有正確返回，測試成功