Heroku的Nginx反向代理失败了SSL握手

发布时间：2020-11-17 10:34:44 所属栏目：Nginx 来源：互联网

导读：不幸的是,我不是一个系统管理员并且遇到了一个让我头撞墙的问题.简短的故事是我在EC2(Ubuntu 14.04.4 LTS)上运行Nginx,以(a)托管我公司的营销网站(https://example.com,顺便说一句是Wordpress),以及(b)作为我们运行的Rails应用程序的反向代理在Heroku(https：

不幸的是,我不是一个系统管理员并且遇到了一个让我头撞墙的问题.

简短的故事是我在EC2(Ubuntu 14.04.4 LTS)上运行Nginx,以(a)托管我公司的营销网站(https://example.com,顺便说一句是Wordpress),以及(b)作为我们运行的Rails应用程序的反向代理在Heroku(https：// app.example.com)上,对于某些路径.我们对example.com和app.example.com使用相同的SSL证书.所有这些都运行了8-10个月,但我最近从Heroku的付费SSL插件切换到新的免费SSL产品,现在我们的反向代理被打破了.

在检查Nginx错误日志时,我看到以下内容：

SSL_do_handshake() failed (SSL: error:14094438:SSL
routines:SSL3_READ_BYTES:tlsv1 alert internal error:SSL alert number
80) while SSL handshaking to upstream,client: ipaddress1,server:
example.com,request: “GET /proxiedpath/proxiedpage HTTP/1.1”,
upstream: “https:// ipaddress2:443/proxiedpath/proxiedpage”,host:
“example.com”

我试图寻找一些额外的指导 – 我已经升级了Nginx(1.10.1)和OpenSSL(1.0.2h)而没有运气.我怀疑这个问题可能是由于Heroku在新的免费SSL功能(https://devcenter.heroku.com/articles/ssl-beta)中使用了SNI,但是无法确定为什么这可能是一个问题.

关于这一点我的探索还有几点：

>当我切换到新的免费Heroku SSL时,我按照文档的指示将app.example.com DNS记录更改为指向app.example.com.herokudns.com.该应用程序可以通过app.example.com正常访问,当我在app.example.com和app.example.com.herokudns.com上运行nslookup时,我得到了相同的IP地址.然而…
>我无法通过nslookup或app.example.com.herokudns.com返回的IP地址访问应用程序.我怀疑这是正常的和预期的,但不知道到底为什么会这样.和…
> nslookup返回的IP地址与上面日志错误消息(“ipaddress2”)中引用的IP地址不同.事实上,“ipaddress2”在整个日志中并不一致 – 它似乎经常变化.我再也不知道我不知道什么……在Heroku的一边负载平衡？

最后,我的Nginx反向代理在nginx.conf中配置如下：

http {

    client_max_body_size 500M;

    sendfile on;
    tcp_nopush on;
    tcp_nodelay on;
    keepalive_timeout 65;
    types_hash_max_size 2048;

    server_names_hash_bucket_size 64;

    include /etc/nginx/mime.types;
    default_type application/octet-stream;

    access_log /var/log/nginx/access.log;
    error_log /var/log/nginx/error.log;

    gzip on;
    gzip_disable "msie6";

    server {

        listen 443 default_server;
        server_name example.com;

        root /usr/share/nginx/html;
        index index.php index.html index.htm;

        ssl on;
        ssl_certificate mycompanycert.crt;
        ssl_certificate_key mycompanykey.key;

        ssl_session_timeout 5m;

        ssl_protocols TLSv1 TLSv1.1 TLSv1.2;
        ssl_ciphers "HIGH:!aNULL:!MD5 or HIGH:!aNULL:!MD5:!3DES";
        ssl_prefer_server_ciphers on;

        error_page 404 /404.html;
        error_page 500 502 503 504 /50x.html;

        location / {
            try_files $uri $uri/ /index.php?q=$uri&$args;
        }

        location ^~ /proxiedpath/ {
            proxy_set_header X-Real-IP $remote_addr;
            proxy_set_header X-Forwarded-Proto https;
            proxy_pass https://app.example.com/proxiedpath/;
        }

    }

}

非常感谢任何帮助 – 非常感谢！最佳答案我今天能够解决这个问题,并希望发布解决方案以防其他人遇到同样的问题.

事实证明,问题毕竟与SNI有关.我在nginx.org上找到了这张票：

https://trac.nginx.org/nginx/ticket/229

这导致我使用proxy_ssl_server_name指令：

http://nginx.org/r/proxy_ssl_server_name

通过在配置中设置为“on”,您将能够使用SNI代理上游主机.

感谢所有评论建议的人！

（编辑：甘南站长网）

【声明】本站内容均来自网络，其相关言论仅代表作者个人观点，不代表本站立场。若无意侵犯到您的权利，请及时与联系站长删除相关内容!