กำหนดค่า Nginx เป็น reverse proxy ด้วย upstream SSL

40

ฉันพยายามกำหนดค่าเซิร์ฟเวอร์ Nginx เป็น reverse proxy ดังนั้นการร้องขอ https ที่ได้รับจากลูกค้าจะถูกส่งต่อไปยังเซิร์ฟเวอร์ upstream ผ่านทาง https เช่นกัน

นี่คือการกำหนดค่าที่ฉันใช้:

http {

    # enable reverse proxy
    proxy_redirect              off;
    proxy_set_header            Host            $http_host;
    proxy_set_header            X-Real-IP       $remote_addr;
    proxy_set_header            X-Forwared-For  $proxy_add_x_forwarded_for;

    upstream streaming_example_com 
    {
          server WEBSERVER_IP:443; 
    }

    server 
    {
        listen      443 default ssl;
        server_name streaming.example.com;
        access_log  /tmp/nginx_reverse_access.log;
        error_log   /tmp/nginx_reverse_error.log;
        root        /usr/local/nginx/html;
        index       index.html;

        ssl_session_cache    shared:SSL:1m;
        ssl_session_timeout  10m;
        ssl_certificate /etc/nginx/ssl/example.com.crt;
        ssl_certificate_key /etc/nginx/ssl/example.com.key;
        ssl_verify_client off;
        ssl_protocols        SSLv3 TLSv1 TLSv1.1 TLSv1.2;
        ssl_ciphers RC4:HIGH:!aNULL:!MD5;
        ssl_prefer_server_ciphers on;


        location /
        {
            proxy_pass  https://streaming_example_com;
        }
    }
}

อย่างไรก็ตามเมื่อฉันพยายามเข้าถึงไฟล์โดยใช้ reverse proxy นี่เป็นข้อผิดพลาดที่ฉันได้รับใน reverse proxy logs:

2014/03/20 12:09:07 [ข้อผิดพลาด] 4113079 # 0: * 1 SSL_do_handshake () ล้มเหลว (SSL: ข้อผิดพลาด: 1408E0F4: กิจวัตร SSL: SSL3_GET_MESSAGE: ข้อความที่ไม่คาดคิด) ในขณะที่ SSL handshaking ไปยังอัปสตรีมไคลเอ็นต์: 192.168.1.2, เซิร์ฟเวอร์: streaming.example.com คำขอ: "GET /publishers/0/645/_teaser.jpg HTTP / 1.1", upstream: " https://MYSERVER.COM:443/publishers/0/645/_teaser.jpg " , โฮสต์: "streaming.example.com"

มีความคิดอะไรที่ฉันกำลังทำผิดหรือเปล่า?

nginx  ssl  reverse-proxy 
อเล็กซ์โฟล
แหล่งที่มา
คุณลองโดยไม่ใช้upstreamโมดูลโดยวาง WEBSERVER_IP โดยตรงใน proxy_pass directive เพื่อดูว่าคุณได้รับข้อผิดพลาดเดียวกันหรือไม่
เบอนัวต์
ไม่ฉันไม่ได้ลอง แต่ตามที่อธิบายไว้ด้านล่างตัวเลือกproxy_ssl_session_reuse off;ทำให้ใช้งานได้ตามที่คาดไว้
Alex Flo
10
โปรดลบ SSLv3 ออกจากโปรโตคอลที่รองรับ มันไม่ปลอดภัยและคุณไม่ควรใช้: ssl_protocols SSLv3
user220703

คำตอบ:

30

ฉันพบสิ่งที่เป็นข้อผิดพลาดฉันต้องเพิ่ม proxy_ssl_session_reuse off;

อเล็กซ์โฟล
แหล่งที่มา
1
ขอขอบคุณ. สำหรับผู้ที่ยังมีปัญหาอยู่หลังจากใช้การกำหนดค่านี้อย่าลืมใช้ https แทน http เพียงจุดเริ่มต้นของ URL ที่กำหนดเป็นพารามิเตอร์ใน proxy_pass มิฉะนั้น nginx จะไม่เข้ารหัสปริมาณการใช้งานที่ส่งไปยังอัปสตรีมและคุณจะยังได้รับข้อความแสดงข้อผิดพลาดเดียวกัน
Lucio Mollinedo
1

ในกรณีของฉันฉันกำลังพยายามย้อนกลับเว็บไซต์พร็อกซีที่อยู่เบื้องหลัง Cloudflare /var/log/nginx/error.logผมได้รับข้อผิดพลาดเดียวกันใน ฉันลองวิธีแก้ปัญหามากมายและอันนี้ใช้ได้สำหรับฉัน:

proxy_ssl_server_name on;

ใช่แม้จะเป็นปี 2019 ในขณะนี้บริการบางอย่างยังคงต้องการ SNI เพื่อแยกความแตกต่างระหว่างไซต์ที่โฮสต์

iBug
แหล่งที่มา
โดยการใช้ไซต์ของเรา หมายความว่าคุณได้อ่านและทำความเข้าใจนโยบายคุกกี้และนโยบายความเป็นส่วนตัวของเราแล้ว
Licensed under cc by-sa 3.0 with attribution required.