Skonfiguruj Nginx jako odwrotne proxy z wyższym SSL

40

Próbuję skonfigurować serwer Nginx jako zwrotny serwer proxy, aby żądania https otrzymywane od klientów były przekazywane do serwera nadrzędnego również przez https.

Oto konfiguracja, której używam:

http {

    # enable reverse proxy
    proxy_redirect              off;
    proxy_set_header            Host            $http_host;
    proxy_set_header            X-Real-IP       $remote_addr;
    proxy_set_header            X-Forwared-For  $proxy_add_x_forwarded_for;

    upstream streaming_example_com 
    {
          server WEBSERVER_IP:443; 
    }

    server 
    {
        listen      443 default ssl;
        server_name streaming.example.com;
        access_log  /tmp/nginx_reverse_access.log;
        error_log   /tmp/nginx_reverse_error.log;
        root        /usr/local/nginx/html;
        index       index.html;

        ssl_session_cache    shared:SSL:1m;
        ssl_session_timeout  10m;
        ssl_certificate /etc/nginx/ssl/example.com.crt;
        ssl_certificate_key /etc/nginx/ssl/example.com.key;
        ssl_verify_client off;
        ssl_protocols        SSLv3 TLSv1 TLSv1.1 TLSv1.2;
        ssl_ciphers RC4:HIGH:!aNULL:!MD5;
        ssl_prefer_server_ciphers on;


        location /
        {
            proxy_pass  https://streaming_example_com;
        }
    }
}

W każdym razie, gdy próbuję uzyskać dostęp do pliku przy użyciu odwrotnego proxy, pojawia się błąd w dziennikach odwrotnego proxy:

2014/03/20 12:09:07 [błąd] 4113079 # 0: * 1 SSL_do_handshake () nie powiodło się (SSL: błąd: 1408E0F4: procedury SSL: SSL3_GET_MESSAGE: nieoczekiwany komunikat) podczas uzgadniania protokołu SSL do klienta, klient: 192.168.1.2, serwer: streaming.example.com, żądanie: „GET /publishers/0/645/_teaser.jpg HTTP / 1.1”, upstream: „ https://MYSERVER.COM:443/publishers/0/645/_teaser.jpg ” , host: „streaming.example.com”

Masz pojęcie, co robię źle?

Alex Flo
źródło
Czy próbowałeś bez użycia upstreammodułu, umieszczając bezpośrednio WEBSERVER_IP w dyrektywie proxy_pass, aby sprawdzić, czy występuje ten sam błąd?
Benoit,
Nie, nie próbowałem tego, ale jak wyjaśniono poniżej, opcja proxy_ssl_session_reuse off;działała zgodnie z oczekiwaniami.
Alex Flo
10
Usuń SSLv3 z obsługiwanych protokołów. Nie jest bezpieczny i nie należy go używać: ssl_protocols SSLv3
user220703

Odpowiedzi:

30

Znalazłem błąd, który musiałem dodać proxy_ssl_session_reuse off;

Alex Flo
źródło
1
Dziękuję Ci. Dla tych, którzy nadal mogą mieć problemy po użyciu tej konfiguracji, pamiętaj, aby używać https zamiast tylko http na początku adresu URL podanego jako parametr w proxy_pass. W przeciwnym razie nginx nie zaszyfruje ruchu wysyłanego do nadrzędnego i nadal pojawi się ten sam komunikat o błędzie.
Lucio Mollinedo
1

W moim przypadku próbowałem odwrócić proxy strony internetowej za Cloudflare. Mam ten sam błąd w /var/log/nginx/error.log. Wypróbowałem wiele rozwiązań i to zadziałało dla mnie:

proxy_ssl_server_name on;

tak, nawet w 2019 roku niektóre usługi nadal wymagają SNI, aby rozróżnić hostowane witryny.

iBug
źródło