Configurare Nginx come proxy inverso con SSL upstream

40

Provo a configurare un server Nginx come proxy inverso in modo che le richieste https ricevute dai client vengano inoltrate anche al server upstream tramite https.

Ecco la configurazione che utilizzo:

http {

    # enable reverse proxy
    proxy_redirect              off;
    proxy_set_header            Host            $http_host;
    proxy_set_header            X-Real-IP       $remote_addr;
    proxy_set_header            X-Forwared-For  $proxy_add_x_forwarded_for;

    upstream streaming_example_com 
    {
          server WEBSERVER_IP:443; 
    }

    server 
    {
        listen      443 default ssl;
        server_name streaming.example.com;
        access_log  /tmp/nginx_reverse_access.log;
        error_log   /tmp/nginx_reverse_error.log;
        root        /usr/local/nginx/html;
        index       index.html;

        ssl_session_cache    shared:SSL:1m;
        ssl_session_timeout  10m;
        ssl_certificate /etc/nginx/ssl/example.com.crt;
        ssl_certificate_key /etc/nginx/ssl/example.com.key;
        ssl_verify_client off;
        ssl_protocols        SSLv3 TLSv1 TLSv1.1 TLSv1.2;
        ssl_ciphers RC4:HIGH:!aNULL:!MD5;
        ssl_prefer_server_ciphers on;


        location /
        {
            proxy_pass  https://streaming_example_com;
        }
    }
}

Ad ogni modo, quando provo ad accedere a un file usando il proxy inverso questo è l'errore che ottengo nei registri del proxy inverso:

2014/03/20 12:09:07 [errore] 4113079 # 0: * 1 SSL_do_handshake () non riuscito (SSL: errore: 1408E0F4: routine SSL: SSL3_GET_MESSAGE: messaggio imprevisto) durante l'handshaking SSL a monte, client: 192.168.1.2, server: streaming.example.com, richiesta: "GET /publishers/0/645/_teaser.jpg HTTP / 1.1", upstream: " https://MYSERVER.COM:443/publishers/0/645/_teaser.jpg " , host: "streaming.example.com"

Hai idea di cosa sto facendo di sbagliato?

nginx  ssl  reverse-proxy 
Alex Flo
fonte
Hai provato senza utilizzare il upstreammodulo inserendo direttamente WEBSERVER_IP nella direttiva proxy_pass per vedere se ricevi lo stesso errore?
Benoit,
No, non ho provato questo, ma come spiegato di seguito l'opzione proxy_ssl_session_reuse off;lo ha fatto funzionare come previsto.
Alex Flo,
10
Rimuovere SSLv3 dai protocolli supportati. Non è sicuro e non dovresti usarlo: ssl_protocols SSLv3
user220703

Risposte:

30

Ho trovato qual era l'errore, dovevo aggiungere proxy_ssl_session_reuse off;

Alex Flo
fonte
1
Grazie. Per quelli là fuori che potrebbero ancora avere problemi dopo aver usato questa configurazione, ricordati di usare https anziché solo http all'inizio dell'URL indicato come parametro in proxy_pass. Altrimenti, nginx non crittograferà il traffico inviato a monte e otterrai comunque lo stesso messaggio di errore.
Lucio Mollinedo
1

Nel mio caso, stavo cercando di invertire il proxy di un sito Web dietro Cloudflare. Ho avuto lo stesso errore in /var/log/nginx/error.log. Ho provato molte soluzioni e questa ha funzionato per me:

proxy_ssl_server_name on;

sì, è anche il 2019, ora alcuni servizi necessitano ancora di SNI per distinguere tra i siti ospitati.

iBug
fonte
Utilizzando il nostro sito, riconosci di aver letto e compreso le nostre Informativa sui cookie e Informativa sulla privacy.
Licensed under cc by-sa 3.0 with attribution required.