Próbuję skonfigurować serwer Nginx jako zwrotny serwer proxy, aby żądania https otrzymywane od klientów były przekazywane do serwera nadrzędnego również przez https.
Oto konfiguracja, której używam:
http {
# enable reverse proxy
proxy_redirect off;
proxy_set_header Host $http_host;
proxy_set_header X-Real-IP $remote_addr;
proxy_set_header X-Forwared-For $proxy_add_x_forwarded_for;
upstream streaming_example_com
{
server WEBSERVER_IP:443;
}
server
{
listen 443 default ssl;
server_name streaming.example.com;
access_log /tmp/nginx_reverse_access.log;
error_log /tmp/nginx_reverse_error.log;
root /usr/local/nginx/html;
index index.html;
ssl_session_cache shared:SSL:1m;
ssl_session_timeout 10m;
ssl_certificate /etc/nginx/ssl/example.com.crt;
ssl_certificate_key /etc/nginx/ssl/example.com.key;
ssl_verify_client off;
ssl_protocols SSLv3 TLSv1 TLSv1.1 TLSv1.2;
ssl_ciphers RC4:HIGH:!aNULL:!MD5;
ssl_prefer_server_ciphers on;
location /
{
proxy_pass https://streaming_example_com;
}
}
}
W każdym razie, gdy próbuję uzyskać dostęp do pliku przy użyciu odwrotnego proxy, pojawia się błąd w dziennikach odwrotnego proxy:
2014/03/20 12:09:07 [błąd] 4113079 # 0: * 1 SSL_do_handshake () nie powiodło się (SSL: błąd: 1408E0F4: procedury SSL: SSL3_GET_MESSAGE: nieoczekiwany komunikat) podczas uzgadniania protokołu SSL do klienta, klient: 192.168.1.2, serwer: streaming.example.com, żądanie: „GET /publishers/0/645/_teaser.jpg HTTP / 1.1”, upstream: „ https://MYSERVER.COM:443/publishers/0/645/_teaser.jpg ” , host: „streaming.example.com”
Masz pojęcie, co robię źle?
źródło
upstream
modułu, umieszczając bezpośrednio WEBSERVER_IP w dyrektywie proxy_pass, aby sprawdzić, czy występuje ten sam błąd?proxy_ssl_session_reuse off;
działała zgodnie z oczekiwaniami.Odpowiedzi:
Znalazłem błąd, który musiałem dodać
proxy_ssl_session_reuse off;
źródło
W moim przypadku próbowałem odwrócić proxy strony internetowej za Cloudflare. Mam ten sam błąd w
/var/log/nginx/error.log
. Wypróbowałem wiele rozwiązań i to zadziałało dla mnie:tak, nawet w 2019 roku niektóre usługi nadal wymagają SNI, aby rozróżnić hostowane witryny.
źródło