Konfigurieren Sie Nginx als Reverse Proxy mit Upstream-SSL

40

Ich versuche, einen Nginx-Server als Reverse-Proxy zu konfigurieren, damit die von Clients empfangenen https-Anforderungen auch über https an den Upstream-Server weitergeleitet werden.

Hier ist die Konfiguration, die ich benutze:

http {

    # enable reverse proxy
    proxy_redirect              off;
    proxy_set_header            Host            $http_host;
    proxy_set_header            X-Real-IP       $remote_addr;
    proxy_set_header            X-Forwared-For  $proxy_add_x_forwarded_for;

    upstream streaming_example_com 
    {
          server WEBSERVER_IP:443; 
    }

    server 
    {
        listen      443 default ssl;
        server_name streaming.example.com;
        access_log  /tmp/nginx_reverse_access.log;
        error_log   /tmp/nginx_reverse_error.log;
        root        /usr/local/nginx/html;
        index       index.html;

        ssl_session_cache    shared:SSL:1m;
        ssl_session_timeout  10m;
        ssl_certificate /etc/nginx/ssl/example.com.crt;
        ssl_certificate_key /etc/nginx/ssl/example.com.key;
        ssl_verify_client off;
        ssl_protocols        SSLv3 TLSv1 TLSv1.1 TLSv1.2;
        ssl_ciphers RC4:HIGH:!aNULL:!MD5;
        ssl_prefer_server_ciphers on;


        location /
        {
            proxy_pass  https://streaming_example_com;
        }
    }
}

Wie auch immer, wenn ich versuche, mit dem Reverse-Proxy auf eine Datei zuzugreifen, ist dies der Fehler, den ich in Reverse-Proxy-Protokollen erhalte:

2014/03/20 12:09:07 [Fehler] 4113079 # 0: * 1 SSL_do_handshake () fehlgeschlagen (SSL: Fehler: 1408E0F4: SSL-Routinen: SSL3_GET_MESSAGE: unerwartete Nachricht), während SSL-Handshake an den Upstream, Client: 192.168.1.2, Server: streaming.example.com, Anforderung: "GET /publishers/0/645/_teaser.jpg HTTP / 1.1", Upstream: " https://MYSERVER.COM:443/publishers/0/645/_teaser.jpg " , Host: "streaming.example.com"

Irgendeine Idee, was ich falsch mache?

Alex Flo
quelle
Haben Sie versucht, ohne das upstreamModul zu verwenden, indem Sie WEBSERVER_IP direkt in die Anweisung proxy_pass eingefügt haben, um zu sehen, ob derselbe Fehler auftritt?
Benoit
Nein, ich habe das nicht ausprobiert, aber wie weiter unten erläutert, proxy_ssl_session_reuse off;hat es wie erwartet funktioniert.
Alex Flo
10
Bitte entfernen Sie SSLv3 aus den unterstützten Protokollen. Es ist nicht sicher und Sie sollten es nicht verwenden: ssl_protocols SSLv3
user220703

Antworten:

30

Ich fand den Fehler, den ich hinzufügen musste proxy_ssl_session_reuse off;

Alex Flo
quelle
1
Danke. Wenn Sie Probleme haben, nachdem Sie diese Konfiguration verwendet haben, denken Sie daran, https anstelle von http am Anfang der URL zu verwenden, die als Parameter in proxy_pass angegeben ist. Andernfalls verschlüsselt nginx den an den Upstream gesendeten Datenverkehr nicht und es wird weiterhin dieselbe Fehlermeldung angezeigt.
Lucio Mollinedo
1

In meinem Fall habe ich versucht, den Proxy einer Website hinter Cloudflare rückgängig zu machen. Ich habe den gleichen Fehler in /var/log/nginx/error.log. Ich habe viele Lösungen ausprobiert und diese funktionierte für mich:

proxy_ssl_server_name on;

Ja, selbst wenn es 2019 ist, benötigen einige Dienste noch eine SNI, um zwischen gehosteten Sites zu unterscheiden.

iBug
quelle