我希望在服务器1上的https://example.com上接收流量.然后我想通过https将该流量代理到服务器2.服务器2的Nginx设置与服务器1完全相同的tls证书和密钥,所以它理论上应该能够满足要求.但是,当服务器2上的Nginx尝试将请求代理到服务器2时,它会将其发送到server2.example.com,这与cert上的通用名称不同,后者只是example.com.
有没有办法配置Nginx以期望主机提供的tls证书上的名称(在tls握手期间)它所代理的请求与它所代理的主机的地址不同?
服务器1上的配置示例:
server {
listen 443 ssl;
server_name example.com;
ssl_certificate /srv/tls/example.com.crt;
ssl_certificate_key /srv/tls/example.com.key;
location / {
proxy_pass https://server2.example.com;
proxy_set_header Host $host;
proxy_set_header X-Real-IP $remote_addr;
proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
proxy_set_header X-Forwarded-Proto https;
}
}
服务器2上的配置示例:
server {
listen 443 ssl;
server_name example.com;
ssl_certificate /srv/tls/example.com.crt;
ssl_certificate_key /srv/tls/example.com.key;
location / {
proxy_pass http://localhost:12345;
proxy_set_header Host $host;
proxy_set_header X-Real-IP $remote_addr;
proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
proxy_set_header X-Forwarded-Proto https;
}
}
来自服务器1的卷曲示例:
$curl https://server2.example.com/chat -H "Host: example.com"
curl: (51) Unable to communicate securely with peer: requested domain name does not match the server's certificate.
如果需要,我可以生成一个新的自签名证书并在服务器2上使用它.但是,我认为只更改Nginx配置会更快.如果无法进行配置更改,我将创建一个新证书.
解决方法:
您可以使用proxy_ssl_name指令指定代理主机证书的服务器名称.
例如:
location / {
proxy_pass https://server2.example.com;
proxy_set_header Host $host;
proxy_ssl_name $host;
...
}
有关详情,请参见this document.
版权声明:本文内容由互联网用户自发贡献,该文观点与技术仅代表作者本人。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌侵权/违法违规的内容, 请发送邮件至 [email protected] 举报,一经查实,本站将立刻删除。
