使用上游 SSL 将 Nginx 配置为反向代理

使用上游 SSL 将 Nginx 配置为反向代理

我尝试将 Nginx 服务器配置为反向代理,以便它从客户端接收的 https 请求也通过 https 转发到上游服务器。

这是我使用的配置:

http {

    # enable reverse proxy
    proxy_redirect              off;
    proxy_set_header            Host            $http_host;
    proxy_set_header            X-Real-IP       $remote_addr;
    proxy_set_header            X-Forwared-For  $proxy_add_x_forwarded_for;

    upstream streaming_example_com 
    {
          server WEBSERVER_IP:443; 
    }

    server 
    {
        listen      443 default ssl;
        server_name streaming.example.com;
        access_log  /tmp/nginx_reverse_access.log;
        error_log   /tmp/nginx_reverse_error.log;
        root        /usr/local/nginx/html;
        index       index.html;

        ssl_session_cache    shared:SSL:1m;
        ssl_session_timeout  10m;
        ssl_certificate /etc/nginx/ssl/example.com.crt;
        ssl_certificate_key /etc/nginx/ssl/example.com.key;
        ssl_verify_client off;
        ssl_protocols        SSLv3 TLSv1 TLSv1.1 TLSv1.2;
        ssl_ciphers RC4:HIGH:!aNULL:!MD5;
        ssl_prefer_server_ciphers on;


        location /
        {
            proxy_pass  https://streaming_example_com;
        }
    }
}

无论如何,当我尝试使用反向代理访问文件时,这是我在反向代理日志中收到的错误:

2014/03/20 12:09:07 [错误] 4113079#0: *1 SSL_do_handshake() 失败(SSL:错误:1408E0F4:SSL 例程:SSL3_GET_MESSAGE:意外消息)SSL 握手至上游,客户端:192.168.1.2,服务器:streaming.example.com,请求:“GET /publishers/0/645/_teaser.jpg HTTP/1.1”,上游:“https://MYSERVER.COM:443/publishers/0/645/_teaser.jpg",主机:“streaming.example.com”

知道我做错了什么吗?

答案1

我发现了错误是什么,我需要添加 proxy_ssl_session_reuse off;

答案2

就我而言,我试图反向代理 Cloudflare 后面的网站。我在 中遇到了同样的错误/var/log/nginx/error.log。我尝试了许多解决方案,这个对我有用:

proxy_ssl_server_name on;

nginx 文档

启用或禁用服务器名称传递TLS 服务器名称指示扩展(SNI,RFC 6066)与代理 HTTPS 服务器建立连接时。

如果服务器首先使用服务器全局 TLS 证书终止 TLS 连接,它可以查看 HTTP Host 标头以确定哪个用户/应用程序应接收 HTTP 请求。但如果服务器为具有不同 TLS 证书的域提供服务(所有 CDN(如 Cloudflare)都这样做),则服务器需要知道要使用哪个 TLS 私钥来终止 TLS。因此,它需要查看未加密的 TLS SNI 标头,因为 HTTP Host 标头仍然是加密的。

答案3

这完全解决了我的问题:

location / {
    proxy_pass https://server2.example.com;
    proxy_set_header Host $host;
    proxy_ssl_name $host;
    proxy_ssl_server_name on;
    proxy_ssl_session_reuse off;
    ...
}

我还必须添加proxy_ssl_name以确保 nginx 知道要传递给上游 https 服务器什么名称。

相关内容