【nginx反向代理https访问502】

如果有看到对你有帮助,麻烦给个关注,我会持续更新工作中的小技巧和只是沉淀。
背景:
昨天客户报障一起http反向代理时访问正常,改为https反向代理时访问报错502 。


分析过程:
首先检查nginx日志发现如下错误

SSL_do_handshake() failed (SSL: error:14094438:SSL routines:ssl3_read_bytes:tlsv1 alert internal error:SSL alert number 80) while SSL handshaking to upstream, client: 127.0.0.1 

很明显握手失败了,第一个想到了检查opnssl版本,及测试后端代理域名ssl连接是否正常

[root@localhost]# openssl version                               
OpenSSL 1.0.1e-fips 11 Feb 2013

[root@localhost]# openssl s_client -connect www.xxx.com:443
CONNECTED(00000003)
139732611258184:error:14077438:SSL routines:SSL23_GET_SERVER_HELLO:tlsv1 alert internal error:s23_clnt.c:744:
---
no peer certificate available
---
No client certificate CA names sent
---
SSL handshake has read 7 bytes and written 247 bytes
---
New, (NONE), Cipher is (NONE)
Secure Renegotiation IS NOT supported
Compression: NONE
Expansion: NONE

#务器不提供任何证书,随后将-servername选项提供给openssl使其成功连接

[root@localhost]# openssl s_client -connect www.xx.com:443 -servername www.xx.com

CONNECTED(00000003)
depth=2 O = Digital Signature Trust Co., CN = DST Root CA X3
verify return:1
depth=1 C = US, O = Let's Encrypt, CN = Let's Encrypt Authority X3
verify return:1
depth=0 CN = www.xx.com
verify return:1
---
Certificate chain
 0 s:/CN=www.xx.com
   i:/C=US/O=Let's Encrypt/CN=Let's Encrypt Authority X3
 1 s:/C=US/O=Let's Encrypt/CN=Let's Encrypt Authority X3
   i:/O=Digital Signature Trust Co./CN=DST Root CA X3
---
Server certificate
-----BEGIN CERTIFICATE-----
#证书内容略去。。。

测试到这里,问题基本就明确了,后端服务需要代理发送SNI(服务器名称TLS扩展)才能正常工作;如果代理服务器不发送SNI,会返回502错误。即无法正常和后端通信。

查找nginx官方文档,找到如下配置,nginx配置中增加:proxy_ssl_server_name on


image.png
    location / {
        proxy_set_header  X-Real-IP  $remote_addr;
        proxy_set_header Host "www.xx.com";
        proxy_set_header X-Protocol https;
        proxy_http_version 1.1;
        proxy_buffering off;
        proxy_ssl_server_name on;
        proxy_pass https://www.xx.com;
    }

image.png

image.png

SNI兼容性

说明 SNI兼容TLS1.0及以上协议,但不被SSL支持。
SNI支持以下桌面版浏览器:

Chrome 5及以上版本
Chrome 6及以上版本(Windows XP)
Firefox 2及以上版本
IE 7及以上版本(运行在Windows Vista/Server 2008及以上版本系统中,在XP系统中任何版本的IE浏览器都不支持SNI)
Konqueror 4.7及以上版本
Opera 8及以上版本
Safari 3.0 on Windows Vista/Server 2008及以上版本,Mac OS X 10.5.6 及以上版本

SNI支持以下库:

GNU TLS
Java 7及以上版本,仅作为客户端
HTTP client 4.3.2及以上版本
libcurl 7.18.1及以上版本
NSS 3.1.1及以上版本
OpenSSL 0.9.8j及以上版本
OpenSSL 0.9.8f及以上版本,需配置flag
Qt 4.8及以上版本
Python3、Python 2.7.9及以上版本

SNI支持以下手机端浏览器:

Android Browser on 3.0 Honeycomb及以上版本
iOS Safari on iOS 4及以上版本
Windows Phone 7及以上版本

SNI支持以下服务器:

Apache 2.2.12及以上版本
Apache Traffic Server 3.2.0及以上版本
HAProxy 1.5及以上版本
IIS 8.0及以上版本
lighttpd 1.4.24及以上版本
LiteSpeed 4.1及以上版本
nginx 0.5.32及以上版本
SNI 支持以下命令行:
cURL 7.18.1及以上版本
wget 1.14及以上版本

参考资料:

nginx关于proxy_ssl_server_name的配置:http://nginx.org/en/docs/http/ngx_http_proxy_module.html#proxy_ssl_server_name

推荐阅读更多精彩内容

  • NGINX主要设计作为反向代理服务器,但随着NGINX的发展,它同样能作为正向代理的选项之一。正向代理本身并不复杂...
    阿里云云栖号阅读 999评论 0 11
  • nginx 编辑Nginx ("engine x") 是一个高性能的HTTP和反向代理服务器,也是一个IMAP/P...
    依忆依意壹懿阅读 105评论 0 0
  • Nginx简介 解决基于进程模型产生的C10K问题,请求时即使无状态连接如web服务都无法达到并发响应量级一万的现...
    魏镇坪阅读 991评论 0 9
  • 1.简介:  Nginx:engine X ,2002年,开源,商业版 http协议:web服务器(类似于ht...
    尛尛大尹阅读 526评论 0 3
  • nginx在工作中已经有好几个环境在使用了,每次都是重新去网上扒博客,各种编译配置,今天自己也整理一份安装文档和n...
    AndyChin阅读 1,110评论 0 4