【nginx反向代理https访问502】

如果有看到对你有帮助，麻烦给个关注，我会持续更新工作中的小技巧和只是沉淀。
背景：
昨天客户报障一起http反向代理时访问正常，改为https反向代理时访问报错502 。

---

分析过程：
首先检查nginx日志发现如下错误

SSL_do_handshake() failed (SSL: error:14094438:SSL routines:ssl3_read_bytes:tlsv1 alert internal error:SSL alert number 80) while SSL handshaking to upstream, client: 127.0.0.1 

很明显握手失败了，第一个想到了检查opnssl版本,及测试后端代理域名ssl连接是否正常

[root@localhost]# openssl version                               
OpenSSL 1.0.1e-fips 11 Feb 2013

[root@localhost]# openssl s_client -connect www.xxx.com:443
CONNECTED(00000003)
139732611258184:error:14077438:SSL routines:SSL23_GET_SERVER_HELLO:tlsv1 alert internal error:s23_clnt.c:744:
---
no peer certificate available
---
No client certificate CA names sent
---
SSL handshake has read 7 bytes and written 247 bytes
---
New, (NONE), Cipher is (NONE)
Secure Renegotiation IS NOT supported
Compression: NONE
Expansion: NONE

#务器不提供任何证书,随后将-servername选项提供给openssl使其成功连接

[root@localhost]# openssl s_client -connect www.xx.com:443 -servername www.xx.com

CONNECTED(00000003)
depth=2 O = Digital Signature Trust Co., CN = DST Root CA X3
verify return:1
depth=1 C = US, O = Let's Encrypt, CN = Let's Encrypt Authority X3
verify return:1
depth=0 CN = www.xx.com
verify return:1
---
Certificate chain
 0 s:/CN=www.xx.com
   i:/C=US/O=Let's Encrypt/CN=Let's Encrypt Authority X3
 1 s:/C=US/O=Let's Encrypt/CN=Let's Encrypt Authority X3
   i:/O=Digital Signature Trust Co./CN=DST Root CA X3
---
Server certificate
-----BEGIN CERTIFICATE-----
#证书内容略去。。。

---

测试到这里，问题基本就明确了，后端服务需要代理发送SNI(服务器名称TLS扩展)才能正常工作；如果代理服务器不发送SNI，会返回502错误。即无法正常和后端通信。

查找nginx官方文档,找到如下配置，nginx配置中增加：proxy_ssl_server_name on

image.png

    location / {
        proxy_set_header  X-Real-IP  $remote_addr;
        proxy_set_header Host "www.xx.com";
        proxy_set_header X-Protocol https;
        proxy_http_version 1.1;
        proxy_buffering off;
        proxy_ssl_server_name on;
        proxy_pass https://www.xx.com;
    }

image.png

image.png

SNI兼容性

说明 SNI兼容TLS1.0及以上协议，但不被SSL支持。
SNI支持以下桌面版浏览器：

Chrome 5及以上版本
Chrome 6及以上版本（Windows XP）
Firefox 2及以上版本
IE 7及以上版本（运行在Windows Vista/Server 2008及以上版本系统中，在XP系统中任何版本的IE浏览器都不支持SNI）
Konqueror 4.7及以上版本
Opera 8及以上版本
Safari 3.0 on Windows Vista/Server 2008及以上版本，Mac OS X 10.5.6 及以上版本

SNI支持以下库：

GNU TLS
Java 7及以上版本，仅作为客户端
HTTP client 4.3.2及以上版本
libcurl 7.18.1及以上版本
NSS 3.1.1及以上版本
OpenSSL 0.9.8j及以上版本
OpenSSL 0.9.8f及以上版本，需配置flag
Qt 4.8及以上版本
Python3、Python 2.7.9及以上版本

SNI支持以下手机端浏览器：

Android Browser on 3.0 Honeycomb及以上版本
iOS Safari on iOS 4及以上版本
Windows Phone 7及以上版本

SNI支持以下服务器：

Apache 2.2.12及以上版本
Apache Traffic Server 3.2.0及以上版本
HAProxy 1.5及以上版本
IIS 8.0及以上版本
lighttpd 1.4.24及以上版本
LiteSpeed 4.1及以上版本
nginx 0.5.32及以上版本
SNI 支持以下命令行：
cURL 7.18.1及以上版本
wget 1.14及以上版本

参考资料：

nginx关于proxy_ssl_server_name的配置：http://nginx.org/en/docs/http/ngx_http_proxy_module.html#proxy_ssl_server_name