Настройте Nginx в качестве обратного прокси с восходящим SSL

40

Я пытаюсь настроить сервер Nginx в качестве обратного прокси-сервера, чтобы запросы https, которые он получает от клиентов, пересылались на вышестоящий сервер через https.

Вот конфигурация, которую я использую:

http {

    # enable reverse proxy
    proxy_redirect              off;
    proxy_set_header            Host            $http_host;
    proxy_set_header            X-Real-IP       $remote_addr;
    proxy_set_header            X-Forwared-For  $proxy_add_x_forwarded_for;

    upstream streaming_example_com 
    {
          server WEBSERVER_IP:443; 
    }

    server 
    {
        listen      443 default ssl;
        server_name streaming.example.com;
        access_log  /tmp/nginx_reverse_access.log;
        error_log   /tmp/nginx_reverse_error.log;
        root        /usr/local/nginx/html;
        index       index.html;

        ssl_session_cache    shared:SSL:1m;
        ssl_session_timeout  10m;
        ssl_certificate /etc/nginx/ssl/example.com.crt;
        ssl_certificate_key /etc/nginx/ssl/example.com.key;
        ssl_verify_client off;
        ssl_protocols        SSLv3 TLSv1 TLSv1.1 TLSv1.2;
        ssl_ciphers RC4:HIGH:!aNULL:!MD5;
        ssl_prefer_server_ciphers on;


        location /
        {
            proxy_pass  https://streaming_example_com;
        }
    }
}

В любом случае, когда я пытаюсь получить доступ к файлу с использованием обратного прокси-сервера, я получаю ошибку в журналах обратного прокси-сервера:

2014/03/20 12:09:07 [ошибка] 4113079 # 0: * 1 Ошибка SSL_do_handshake () (SSL: ошибка: 1408E0F4: подпрограммы SSL: SSL3_GET_MESSAGE: неожиданное сообщение) во время подтверждения связи SSL с восходящим потоком, клиент: 192.168.1.2, сервер: streaming.example.com, запрос: «GET /publishers/0/645/_teaser.jpg HTTP / 1.1», восходящий поток: « https://MYSERVER.COM:443/publishers/0/645/_teaser.jpg » , хост: "streaming.example.com"

Есть идеи, что я делаю не так?

Алекс Фло
источник
Вы пытались без использования upstreamмодуля, напрямую поместив WEBSERVER_IP в директиву proxy_pass, чтобы увидеть, если вы получаете ту же ошибку?
Бенуа
Нет, я не пробовал это, но, как объяснено ниже, опция proxy_ssl_session_reuse off;заставила его работать как положено.
Алекс Фло
10
Пожалуйста, удалите SSLv3 из поддерживаемых протоколов. Это небезопасно, и вы не должны его использовать: ssl_protocols SSLv3
user220703

Ответы:

30

Я нашел в чем была ошибка, мне нужно было добавить proxy_ssl_session_reuse off;

Алекс Фло
источник
1
Спасибо. Для тех, у кого могут возникнуть проблемы после использования этой конфигурации, не забудьте использовать https вместо просто http в начале URL-адреса, указанного в качестве параметра в proxy_pass. В противном случае nginx не будет шифровать трафик, отправляемый в восходящий поток, и вы все равно получите то же сообщение об ошибке.
Люсио Моллинедо
1

В моем случае я пытался отменить прокси-сервер за Cloudflare. Я получил ту же ошибку в /var/log/nginx/error.log. Я пробовал много решений, и это сработало для меня:

proxy_ssl_server_name on;

да, даже сейчас 2019 год, некоторые службы все еще нуждаются в SNI, чтобы различать размещенные сайты.

iBug
источник