Configurar o Nginx como proxy reverso com SSL upstream

40

Eu tento configurar um servidor Nginx como um proxy reverso para que as solicitações https recebidas dos clientes sejam encaminhadas para o servidor upstream via https também.

Aqui está a configuração que eu uso:

http {

    # enable reverse proxy
    proxy_redirect              off;
    proxy_set_header            Host            $http_host;
    proxy_set_header            X-Real-IP       $remote_addr;
    proxy_set_header            X-Forwared-For  $proxy_add_x_forwarded_for;

    upstream streaming_example_com 
    {
          server WEBSERVER_IP:443; 
    }

    server 
    {
        listen      443 default ssl;
        server_name streaming.example.com;
        access_log  /tmp/nginx_reverse_access.log;
        error_log   /tmp/nginx_reverse_error.log;
        root        /usr/local/nginx/html;
        index       index.html;

        ssl_session_cache    shared:SSL:1m;
        ssl_session_timeout  10m;
        ssl_certificate /etc/nginx/ssl/example.com.crt;
        ssl_certificate_key /etc/nginx/ssl/example.com.key;
        ssl_verify_client off;
        ssl_protocols        SSLv3 TLSv1 TLSv1.1 TLSv1.2;
        ssl_ciphers RC4:HIGH:!aNULL:!MD5;
        ssl_prefer_server_ciphers on;


        location /
        {
            proxy_pass  https://streaming_example_com;
        }
    }
}

De qualquer forma, quando tento acessar um arquivo usando o proxy reverso, esse é o erro que recebo nos logs do proxy reverso:

2014/03/20 12:09:07 [erro] 4113079 # 0: * 1 SSL_do_handshake () falhou (SSL: erro: 1408E0F4: rotinas SSL: SSL3_GET_MESSAGE: mensagem inesperada) enquanto handshaking SSL para upstream, cliente: 192.168.1.2, servidor: streaming.example.com, solicitação: "GET /publishers/0/645/_teaser.jpg HTTP / 1.1", upstream: " https://MYSERVER.COM:443/publishers/0/645/_teaser.jpg " , host: "streaming.example.com"

Alguma idéia do que estou fazendo de errado?

Alex Flo
fonte
Você tentou sem usar o upstreammódulo colocando diretamente o WEBSERVER_IP na diretiva proxy_pass para ver se obtinha o mesmo erro?
Benoit
Não, eu não tentei isso, mas, como explicado abaixo, a opção proxy_ssl_session_reuse off;fez com que funcionasse conforme o esperado.
Alex Flo
10
Remova o SSLv3 dos protocolos suportados. Não é segura e você não deve usá-lo: ssl_protocols SSLv3
user220703

Respostas:

30

Encontrei qual foi o erro, precisava adicionar proxy_ssl_session_reuse off;

Alex Flo
fonte
11
Obrigado. Para aqueles que ainda podem ter problemas após usar essa configuração, lembre-se de usar https em vez de apenas http no início do URL, fornecido como parâmetro no proxy_pass. Caso contrário, o nginx não criptografará o tráfego enviado para o upstream e você ainda receberá a mesma mensagem de erro.
Lucio Mollinedo
1

No meu caso, eu estava tentando reverter o proxy de um site por trás do Cloudflare. Eu recebi o mesmo erro em /var/log/nginx/error.log. Eu tentei muitas soluções e esta funcionou para mim:

proxy_ssl_server_name on;

Sim, mesmo em 2019, agora alguns serviços ainda precisam do SNI para distinguir entre sites hospedados.

iBug
fonte