Налаштуйте Nginx як зворотний проксі за допомогою SSL вище

40

Я намагаюся налаштувати сервер Nginx як зворотний проксі, тому запити https, які він отримує від клієнтів, також передаються на поточний сервер через https.

Ось конфігурація, яку я використовую:

http {

    # enable reverse proxy
    proxy_redirect              off;
    proxy_set_header            Host            $http_host;
    proxy_set_header            X-Real-IP       $remote_addr;
    proxy_set_header            X-Forwared-For  $proxy_add_x_forwarded_for;

    upstream streaming_example_com 
    {
          server WEBSERVER_IP:443; 
    }

    server 
    {
        listen      443 default ssl;
        server_name streaming.example.com;
        access_log  /tmp/nginx_reverse_access.log;
        error_log   /tmp/nginx_reverse_error.log;
        root        /usr/local/nginx/html;
        index       index.html;

        ssl_session_cache    shared:SSL:1m;
        ssl_session_timeout  10m;
        ssl_certificate /etc/nginx/ssl/example.com.crt;
        ssl_certificate_key /etc/nginx/ssl/example.com.key;
        ssl_verify_client off;
        ssl_protocols        SSLv3 TLSv1 TLSv1.1 TLSv1.2;
        ssl_ciphers RC4:HIGH:!aNULL:!MD5;
        ssl_prefer_server_ciphers on;


        location /
        {
            proxy_pass  https://streaming_example_com;
        }
    }
}

У будь-якому випадку, коли я намагаюся отримати доступ до файлу за допомогою зворотного проксі, це помилка, яку я отримую в протоколах зворотного проксі:

20.03.2014 12:09:07 [помилка] 4113079 # 0: * 1 SSL_do_handshake () не вдалося (SSL: помилка: 1408E0F4: підпрограми SSL: SSL3_GET_MESSAGE: несподіване повідомлення) під час передачі SSL вгору, клієнт: 192.168.1.2, сервер: streaming.example.com, запит: "GET /publishers/0/645/_teaser.jpg HTTP / 1.1", вище за течією: " https://MYSERVER.COM:243/publishers/0/645/_teaser.jpg " , хост: "streaming.example.com"

Будь-яка ідея, що я роблю неправильно?

nginx  ssl  reverse-proxy 
Алекс Фло
джерело
Ви спробували без використання upstreamмодуля, безпосередньо вписавши WEBSERVER_IP в директиву proxy_pass, щоб побачити, чи отримуєте ви таку ж помилку?
Бенуа
Ні, я цього не намагався, але, як пояснено нижче, параметр proxy_ssl_session_reuse off;змусив його працювати, як очікувалося.
Алекс Фло
10
Видаліть SSLv3 з підтримуваних протоколів. Це не безпечно, і ви не повинні ним користуватися: ssl_protocols SSLv3
user220703

Відповіді:

30

Я виявив, у чому помилка, мені потрібно було додати proxy_ssl_session_reuse off;

Алекс Фло
джерело
1
Дякую. Для тих, хто там може виникнути проблеми після використання цього конфігурації, не забудьте використовувати https замість просто http на початку URL-адреси, вказаної як параметр у proxy_pass. В іншому випадку nginx не зашифрує трафік, надісланий вище за течією, і ви все одно отримаєте те саме повідомлення про помилку.
Лусіо Моллінедо
1

У моєму випадку я намагався повернути проксі-сайт на веб-сайт, що стоїть за Cloudflare. Я отримав таку ж помилку в /var/log/nginx/error.log. Я спробував багато рішень, і це працювало для мене:

proxy_ssl_server_name on;

так, навіть це 2019 рік, а деякі сервіси все ще потребують SNI, щоб розрізняти розміщені сайти.

iBug
джерело
Використовуючи наш веб-сайт, ви визнаєте, що прочитали та зрозуміли наші Політику щодо файлів cookie та Політику конфіденційності.
Licensed under cc by-sa 3.0 with attribution required.