<div dir="ltr"><div><div>у proxy_ssl_name очень хорошее значение по умолчанию.<br><br></div>не совсем понятно, чем плохо "proxy_pass <a href="https://computer.domain">https://computer.domain</a>"<br></div>по идее, все нужные параметры тут уже есть, в чем логика, чтобы еще раз их описать?<br><div><br></div></div><div class="gmail_extra"><br><div class="gmail_quote">16 июня 2016 г., 19:01 пользователь Maxim Dounin <span dir="ltr"><<a href="mailto:mdounin@mdounin.ru" target="_blank">mdounin@mdounin.ru</a>></span> написал:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">Hello!<br>
<span class=""><br>
On Thu, Jun 16, 2016 at 06:49:42PM +0500, Илья Шипицин wrote:<br>
<br>
> Привет!<br>
><br>
> есть сервер на win2012r2, он настроен с поддержкой SNI.<br>
> он может принять соединение на <a href="https://computer.domain" rel="noreferrer" target="_blank">https://computer.domain</a>, но категорически<br>
> отказывается принимать соединения на <a href="https://xn--ip--8cdug0fj" rel="noreferrer" target="_blank">https://ip-адрес</a><br>
</span>> <<a href="https://xn--ip--8cdug0fj" rel="noreferrer" target="_blank">https://xn--ip--8cdug0fj</a>><br>
<span class="">><br>
> я убился уже, не могу заставить при проксировании передавать имя. оно<br>
> ресолвится и в результате<br>
><br>
> 2016/06/16 18:44:22 [error] 55328#0: *703668639 peer closed connection in<br>
> SSL handshake (54: Connection reset by peer) while SSL handshaking to<br>
> upstream, client: 46.17.201.71, server: XXX, request: "GET<br>
> /adfs/portal/updatepassword HTTP/2.0", upstream: "<br>
> <a href="https://X.X.X.X:443/adfs/portal/updatepassword" rel="noreferrer" target="_blank">https://X.X.X.X:443/adfs/portal/updatepassword</a>", host: "XXX"<br>
><br>
><br>
> можно как-то сделать, чтобы апстрим не ресолвился?<br>
<br>
</span>Если нужно, чтобы при соединении к бекенду nginx использовал<br>
Server Name Indication, aka SNI - надо включить<br>
proxy_ssl_server_name.  Имя берётся из proxy_pass, если нужно<br>
нестандартное - можно задать с помощью диреткивы proxy_ssl_name.<br>
<br>
Соответственно если нужно, чтобы nginx всегда шёл к заданному<br>
ip-адресу, но при этом указывал имя "computer.domain", есть два<br>
варианта:<br>
<br>
- Определить upstream computer.domain с нужным IP-адресом, как-то<br>
  так:<br>
<br>
    upstream computer.domain {<br>
        server <a href="http://10.0.0.2:443" rel="noreferrer" target="_blank">10.0.0.2:443</a>;<br>
    }<br>
<br>
    proxy_pass <a href="https://computer.domain" rel="noreferrer" target="_blank">https://computer.domain</a>;<br>
    proxy_ssl_server_name on;<br>
<br>
- Написать IP-адрес явно в proxy_pass, и переопределить имя где<br>
  надо:<br>
<br>
    proxy_pass <a href="https://10.0.0.2" rel="noreferrer" target="_blank">https://10.0.0.2</a>;<br>
    proxy_ssl_server_name on;<br>
    proxy_ssl_name computer.domain;<br>
    proxy_set_header Host computer.domain;<br>
<span class="HOEnZb"><font color="#888888"><br>
--<br>
Maxim Dounin<br>
<a href="http://nginx.org/" rel="noreferrer" target="_blank">http://nginx.org/</a><br>
</font></span><div class="HOEnZb"><div class="h5"><br>
_______________________________________________<br>
nginx-ru mailing list<br>
<a href="mailto:nginx-ru@nginx.org">nginx-ru@nginx.org</a><br>
<a href="http://mailman.nginx.org/mailman/listinfo/nginx-ru" rel="noreferrer" target="_blank">http://mailman.nginx.org/mailman/listinfo/nginx-ru</a></div></div></blockquote></div><br></div>