nginx 反代 https 源站，为啥 upstream 源站变成 https://ip/XXX

菜鸟求助，nginx 反代 https://AAA.com 页面打开为空，如果直接反代 http://AAA.com 则完全正常；看错误代码

[error] 5790#5790: *15933 upstream prematurely closed connection while reading upstream, client: 127.0.0.1, server: m.shss.pw, request: "GET /bbs/index.php HTTP/2.0", upstream: "https://数字 IP:443/bbs/index.php", host: "BBB.com", referrer: "https:/BBB.com/"

https://AAA.com 是 ke 可以打开的，但是 https://数字 IP:443/ 显然是无法打开的，所以报错

请问这种情形下 nginx 如何修改配置？

mxT52CRuqR6o5

2022-09-01 23:04:10 +08:00

host 对的就没问题，host 是 http 协议的 header ，upstream 不是，问题原因应该不是你目前认为的那样

turan12

2022-09-01 23:05:00 +08:00

把 conf 文件贴上来看看

liuyinltemp

2022-09-01 23:06:35 +08:00

反代源站 http 是没问题的，ip 也是源站的 ip ，https://数字 IP:443 这个是没法访问

liuyinltemp

2022-09-01 23:09:28 +08:00

server {
listen 443 ssl http2;
server_name BBB.com;
ssl_certificate cert/XXX.crt;
ssl_certificate_key cert/XXX.key;
resolver 8.8.8.8 1.1.1.1 valid=3600s;
resolver_timeout 3s;
set $backend https://AAA.com;
add_header Strict-Transport-Security "max-age=31536000;includeSubDomains" always;
add_header X-Frame-Options SAMEORIGIN;
add_header Referrer-Policy same-origin;
add_header X-Content-Type-Options nosniff;
proxy_set_header Early-Data $ssl_early_data;
location / {
proxy_redirect off;
proxy_pass $backend;
proxy_ssl_server_name on;
proxy_http_version 1.1;
proxy_set_header Connection "";
proxy_set_header Host AAA.com;
proxy_set_header Accept-Encoding "";
proxy_set_header X-Real-IP $remote_addr;
proxy_set_header X-Forwarded-Proto $scheme;
proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
proxy_set_header Referer https://AAA.com;
}
}

nulIptr

2022-09-01 23:11:05 +08:00

代理 https 需要配证书啊。。。不然不就是中间人了吗

liuyinltemp

2022-09-01 23:12:56 +08:00

@nulIptr 证书没有问题，
ssl_certificate cert/XXX.crt;
ssl_certificate_key cert/XXX.key;

liuyinltemp

2022-09-01 23:13:27 +08:00

为啥 upstream 哪儿用 ip 替换了域名

hefish

2022-09-01 23:22:40 +08:00

日志里面是 HTTP/2.0 ，配置里面是 1.1 ，不知道有没有关系。

nulIptr

2022-09-01 23:24:03 +08:00

@liuyinltemp #6
我这样解释一下，
证书是颁发给域名的，你的 a 域名有 a 证书，而 a 证书用不到 b 域名上。如果 a 服务只有 a 域名的 https 的话是不能被 b 域名代理的，如果是同一个域名不同服务器的话理论上可以代理，具体怎么配就不知道了
你这问题把我给问懵逼了，实际我一般只在最外面的 ingress 网关配 https ，内部的微服务都是 http 。

PMR

2022-09-01 23:34:55 +08:00

在什么地方看过 proxy_pass 是固死 IP 的开启 SNI
程序启动时会自动解析 IP 并固定域名的解析变动要 reload nginx 才能 proxy_pass 到变动 IP

找下 nginx plus 的 example 照葫芦画瓢就行

2022-09-02 00:26:02 +08:00

用 stream 转发会更方便

ZE3kr

2022-09-02 00:26:32 +08:00

你得传 SNI
aaa.com;
proxy_ssl_server_name on;
proxy_ssl_protocols TLSv1 TLSv1.1 TLSv1.2 TLSv1.3;

ZE3kr

2022-09-02 00:27:40 +08:00

proxy_ssl_name

V2EX 回复不能编辑，没办法，需要你自己拼凑下

liuyinltemp

2022-09-02 09:20:13 +08:00

up 一下，这个配置反代其他 https 域名没有问题

liuyinltemp

2022-09-02 09:45:35 +08:00

对了，还有一个特征，就是访问 https://AAA.com 是正常的，但是跳转 https://AAA.com/bbs/index.php 出现问题，只显示网页底色

konsh

2022-09-02 10:42:56 +08:00

@liuyinltemp https 协议是需要 ca 证书，证书是颁发给域名的，与 IP 无关，所以访问 https://XXX.com 是没有问题的，而 https://ip:443 则是无法访问的。看了下你的 conf 文件，proxy_pass 代理的是 https 请求，加上证书配置试试看，参考文档 https://docs.nginx.com/nginx/admin-guide/security-controls/securing-http-traffic-upstream/

jiabing520a

2022-09-02 13:28:37 +08:00

我是在 /etc/hosts 里指定源站 IP ，使用起来没有问题

liuyinltemp

2022-09-02 15:56:48 +08:00

chrome F12 查看显示 Failed to load resource: net::ERR_HTTP2_PROTOCOL_ERROR

liuyinltemp

2022-09-02 17:13:01 +08:00

@konsh 没有源站的证书

liuyinltemp

2022-09-02 17:27:20 +08:00

单独看反代后 js 是可以正常打开，现在就是进入 https://AAA.com/bbs/index.php 没有响应

这是一个专为移动设备优化的页面（即为了让你能够在 Google 搜索结果里秒开这个页面），如果你希望参与 V2EX 社区的讨论，你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/877124

V2EX 是创意工作者们的社区，是一个分享自己正在做的有趣事物、交流想法，可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.