Re: проксирование на https
Илья Шипицин
chipitsine на gmail.com
Чт Июн 16 14:07:23 UTC 2016
у proxy_ssl_name очень хорошее значение по умолчанию.
не совсем понятно, чем плохо "proxy_pass https://computer.domain"
по идее, все нужные параметры тут уже есть, в чем логика, чтобы еще раз их
описать?
16 июня 2016 г., 19:01 пользователь Maxim Dounin <mdounin на mdounin.ru>
написал:
> Hello!
>
> On Thu, Jun 16, 2016 at 06:49:42PM +0500, Илья Шипицин wrote:
>
> > Привет!
> >
> > есть сервер на win2012r2, он настроен с поддержкой SNI.
> > он может принять соединение на https://computer.domain, но категорически
> > отказывается принимать соединения на https://ip-адрес
> <https://xn--ip--8cdug0fj>
> > <https://xn--ip--8cdug0fj>
> >
> > я убился уже, не могу заставить при проксировании передавать имя. оно
> > ресолвится и в результате
> >
> > 2016/06/16 18:44:22 [error] 55328#0: *703668639 peer closed connection in
> > SSL handshake (54: Connection reset by peer) while SSL handshaking to
> > upstream, client: 46.17.201.71, server: XXX, request: "GET
> > /adfs/portal/updatepassword HTTP/2.0", upstream: "
> > https://X.X.X.X:443/adfs/portal/updatepassword", host: "XXX"
> >
> >
> > можно как-то сделать, чтобы апстрим не ресолвился?
>
> Если нужно, чтобы при соединении к бекенду nginx использовал
> Server Name Indication, aka SNI - надо включить
> proxy_ssl_server_name. Имя берётся из proxy_pass, если нужно
> нестандартное - можно задать с помощью диреткивы proxy_ssl_name.
>
> Соответственно если нужно, чтобы nginx всегда шёл к заданному
> ip-адресу, но при этом указывал имя "computer.domain", есть два
> варианта:
>
> - Определить upstream computer.domain с нужным IP-адресом, как-то
> так:
>
> upstream computer.domain {
> server 10.0.0.2:443;
> }
>
> proxy_pass https://computer.domain;
> proxy_ssl_server_name on;
>
> - Написать IP-адрес явно в proxy_pass, и переопределить имя где
> надо:
>
> proxy_pass https://10.0.0.2;
> proxy_ssl_server_name on;
> proxy_ssl_name computer.domain;
> proxy_set_header Host computer.domain;
>
> --
> Maxim Dounin
> http://nginx.org/
>
> _______________________________________________
> nginx-ru mailing list
> nginx-ru на nginx.org
> http://mailman.nginx.org/mailman/listinfo/nginx-ru
>
----------- следущая часть -----------
Вложение в формате HTML было извлечено…
URL: <http://mailman.nginx.org/pipermail/nginx-ru/attachments/20160616/1c10e6ad/attachment.html>
Подробная информация о списке рассылки nginx-ru