如果有看到对你有帮助,麻烦给个关注,我会持续更新工作中的小技巧和只是沉淀。
背景:
昨天客户报障一起http反向代理时访问正常,改为https反向代理时访问报错502 。
分析过程:
首先检查nginx日志发现如下错误
SSL_do_handshake() failed (SSL: error:14094438:SSL routines:ssl3_read_bytes:tlsv1 alert internal error:SSL alert number 80) while SSL handshaking to upstream, client: 127.0.0.1
很明显握手失败了,第一个想到了检查opnssl版本,及测试后端代理域名ssl连接是否正常
[root@localhost]# openssl version
OpenSSL 1.0.1e-fips 11 Feb 2013
[root@localhost]# openssl s_client -connect www.xxx.com:443
CONNECTED(00000003)
139732611258184:error:14077438:SSL routines:SSL23_GET_SERVER_HELLO:tlsv1 alert internal error:s23_clnt.c:744:
---
no peer certificate available
---
No client certificate CA names sent
---
SSL handshake has read 7 bytes and written 247 bytes
---
New, (NONE), Cipher is (NONE)
Secure Renegotiation IS NOT supported
Compression: NONE
Expansion: NONE
#务器不提供任何证书,随后将-servername选项提供给openssl使其成功连接
[root@localhost]# openssl s_client -connect www.xx.com:443 -servername www.xx.com
CONNECTED(00000003)
depth=2 O = Digital Signature Trust Co., CN = DST Root CA X3
verify return:1
depth=1 C = US, O = Let's Encrypt, CN = Let's Encrypt Authority X3
verify return:1
depth=0 CN = www.xx.com
verify return:1
---
Certificate chain
0 s:/CN=www.xx.com
i:/C=US/O=Let's Encrypt/CN=Let's Encrypt Authority X3
1 s:/C=US/O=Let's Encrypt/CN=Let's Encrypt Authority X3
i:/O=Digital Signature Trust Co./CN=DST Root CA X3
---
Server certificate
-----BEGIN CERTIFICATE-----
#证书内容略去。。。
测试到这里,问题基本就明确了,后端服务需要代理发送SNI(服务器名称TLS扩展)才能正常工作;如果代理服务器不发送SNI,会返回502错误。即无法正常和后端通信。
查找nginx官方文档,找到如下配置,nginx配置中增加:proxy_ssl_server_name on
image.png
location / {
proxy_set_header X-Real-IP $remote_addr;
proxy_set_header Host "www.xx.com";
proxy_set_header X-Protocol https;
proxy_http_version 1.1;
proxy_buffering off;
proxy_ssl_server_name on;
proxy_pass https://www.xx.com;
}
image.png
image.png
SNI兼容性
说明 SNI兼容TLS1.0及以上协议,但不被SSL支持。
SNI支持以下桌面版浏览器:
Chrome 5及以上版本
Chrome 6及以上版本(Windows XP)
Firefox 2及以上版本
IE 7及以上版本(运行在Windows Vista/Server 2008及以上版本系统中,在XP系统中任何版本的IE浏览器都不支持SNI)
Konqueror 4.7及以上版本
Opera 8及以上版本
Safari 3.0 on Windows Vista/Server 2008及以上版本,Mac OS X 10.5.6 及以上版本
SNI支持以下库:
GNU TLS
Java 7及以上版本,仅作为客户端
HTTP client 4.3.2及以上版本
libcurl 7.18.1及以上版本
NSS 3.1.1及以上版本
OpenSSL 0.9.8j及以上版本
OpenSSL 0.9.8f及以上版本,需配置flag
Qt 4.8及以上版本
Python3、Python 2.7.9及以上版本
SNI支持以下手机端浏览器:
Android Browser on 3.0 Honeycomb及以上版本
iOS Safari on iOS 4及以上版本
Windows Phone 7及以上版本
SNI支持以下服务器:
Apache 2.2.12及以上版本
Apache Traffic Server 3.2.0及以上版本
HAProxy 1.5及以上版本
IIS 8.0及以上版本
lighttpd 1.4.24及以上版本
LiteSpeed 4.1及以上版本
nginx 0.5.32及以上版本
SNI 支持以下命令行:
cURL 7.18.1及以上版本
wget 1.14及以上版本
参考资料:
nginx关于proxy_ssl_server_name的配置:http://nginx.org/en/docs/http/ngx_http_proxy_module.html#proxy_ssl_server_name
