关于 nginx 反向代理， HTTP 正常， HTTPS 访问报 403 错误

还是看访问日志吧

user root;

ssl on;

把错误 log 打开.看一下错误 log 这样最容易找到问题

443 和 80 的 配置都不一样

Upgrade ？ websocket ？

目录 权限不够

@Lockeysama 访问日志无任何报错，也就是说 nginx 正常转发了，但使用证书方式转发时候，后端应用拒绝了，不知道是不是应该在 nginx 配置文件上添加参数

@engineercj 不是这个问题，如果是这个问题，影响是全局的，不会 80 端口正常，443 不正常

@whorusq ssl on 的方式，已经淘汰了，现在都是这么用
listen 443 ssl;

proxy_set_header Host $http_host;

ssl 段没把 host 传过去啊

@zunceng 配置是有些不一样，我把 timeout 和 buffer 补上试试

@simenet 不是这个问题，这个是反向代理，不是作为本地 web 服务器

@Citrus 因为之前解决问题，有人说需要注释掉这条。。。我先补上

下面这两条意义一致吗？

# proxy_set_header Host $host:$server_port;
# proxy_set_header Host $proxy_host;

日志

是上游根据 HOST “不合法”返回的 403 吧。试试在 ssl server 那块，也加上 `proxy_set_header Host $http_host;` 或者 `proxy_set_header Host $host;`

@guanyujia5444 你把 websocket 的配置 删掉试试 就是 Upgrade 相关的

@zunceng 这块不太懂，是删掉如下几条吗？

proxy_set_header Upgrade $http_upgrade;
proxy_set_header Connection "upgrade";
proxy_set_header Upgrade-Insecure-Requests 1;

@zunceng 已经注释掉这三条，还是不行的

最新的配置如下，依然是 http 的 81 可以访问，https 的 8888 端口无法访问，两个转发的后端服务都是一样的。
转发的协议是 http 的。

#user nobody;
worker_processes 1;

error_log logs/error.log;
error_log logs/error.log notice;
error_log logs/error.log info;

#pid logs/nginx.pid;


events {
worker_connections 1024;
}


http {
include mime.types;
default_type application/octet-stream;

#log_format main '$remote_addr - $remote_user [$time_local] "$request" '
# '$status $body_bytes_sent "$http_referer" '
# '"$http_user_agent" "$http_x_forwarded_for"';

#access_log logs/access.log main;

sendfile on;
tcp_nopush on;

#keepalive_timeout 0;
keepalive_timeout 65;

gzip on;

upstream ncc{
ip_hash;
server 192.168.100.241:9081 weight=10;
server 192.168.100.241:9082 weight=10;
keepalive 300;
}



server {
listen 81;
server_name localhost;
index index.jsp;
location / {
allow all;
index index.jsp index.html;
proxy_pass http://ncc;
proxy_set_header Host $http_host;
proxy_set_header Cookie $http_cookie;
proxy_set_header X-Real-IP $remote_addr;
proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
proxy_set_header X-Forwarded-Proto $scheme;
client_max_body_size 100m;
client_body_buffer_size 256k;
proxy_buffering off;
proxy_connect_timeout 1;
proxy_send_timeout 30;
proxy_read_timeout 60;
proxy_buffer_size 256k;
proxy_buffers 4 256k;
proxy_busy_buffers_size 256k;
proxy_temp_file_write_size 256k;
proxy_max_temp_file_size 128m;
}
}
server {
listen 8888 ssl;
#error_page 497 301 =307 https://$host:443$request_uri;
server_name localhost;
index index.jsp;
ssl_certificate cert/2.pem;
ssl_certificate_key cert/2.key;
ssl_session_cache shared:SSL:1m;
ssl_session_timeout 5m;
ssl_ciphers ECDHE-RSA-AES128-GCM-SHA256:ECDHE:ECDH:AES:HIGH:!NULL:!aNULL:!MD5:!ADH:!RC4;
ssl_protocols TLSv1 TLSv1.1 TLSv1.2;
ssl_prefer_server_ciphers on;
location / {
allow all;
index index.jsp index.html;
proxy_pass http://ncc;
proxy_set_header X-Real-IP $remote_addr;
proxy_set_header Host $http_host;
proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
proxy_set_header X-Forwarded-Proto https;
proxy_set_header Cookie $http_cookie;
proxy_set_header Upgrade $http_upgrade;
proxy_set_header Connection "upgrade";
proxy_set_header Upgrade-Insecure-Requests 1;
client_max_body_size 100m;
client_body_buffer_size 256k;
proxy_buffering off;
proxy_connect_timeout 1;
proxy_send_timeout 30;
proxy_read_timeout 60;
proxy_buffer_size 256k;
proxy_buffers 4 256k;
proxy_busy_buffers_size 256k;
proxy_temp_file_write_size 256k;
proxy_max_temp_file_size 128m;
}
}
}

加这几句：
set $ssl off;
if ($scheme = https) {
set $ssl on;
}