一、現(xiàn)象

在使用nginx反向代理后端服務(wù)器的時(shí)候，因?yàn)榕渲玫氖怯蛎?，?dǎo)致HTTPS 請(qǐng)求轉(zhuǎn)發(fā)失敗，報(bào) SSL 錯(cuò)誤，js 報(bào) 502

二、排查過(guò)程

1、查看nginx日志，發(fā)現(xiàn)報(bào)502，但是本地curl upstream中的后端域名是可以正常通的。

2、查看后端服務(wù)器上，沒(méi)有收到請(qǐng)求，說(shuō)明請(qǐng)求沒(méi)過(guò)去，繼續(xù)排查nginx本身的配置問(wèn)題，Nginx 渲染模版已支持 HTTPS，嘗試略過(guò) upstream 配置，直接在 conf 文件中渲染 https://域名，請(qǐng)求仍然失敗。

3、然后換個(gè)思路，修改成內(nèi)網(wǎng)ip不走域名，發(fā)現(xiàn)是正常，那換個(gè)域名試試。

然后懷疑客戶的域名有問(wèn)題？但是這域名是可以訪問(wèn)的，上面第一步已經(jīng)測(cè)試過(guò)了。

4、這個(gè)時(shí)候只能翻一下錯(cuò)誤日志，看看有什么有用的提示。

可以看到nginx錯(cuò)誤日志里面有一串看不懂的報(bào)錯(cuò)提示和我們?cè)L問(wèn)情況，nginx把域名解析成了一個(gè)ip地址，當(dāng)我試著直接通過(guò)ip去訪問(wèn)時(shí)，果然報(bào)錯(cuò)了。

只能通過(guò)域名去訪問(wèn)，讓我想起來(lái)了nginx同端口不同域名及禁用未綁定域名訪問(wèn)的配置，確實(shí)可以實(shí)現(xiàn),這是https的SNI問(wèn)題，大家可以自行查閱資料。

https://www.realks.com/2021/03/07/nginx-proxy-ssl-server-name/ https://freexyz.cn/server/98212.html。

三、解決方案

為解決這個(gè)問(wèn)題，nginx官方給出了一個(gè)參數(shù)配置。

然后我不使用 upstream了，而直接在 conf 文件中使用 https://域名 并且加上配置 proxy_ssl_server name_on。

但是我如果還是想用upstream來(lái)負(fù)載均衡，有沒(méi)有辦法呢？一頓操作，發(fā)現(xiàn)可以像下面這樣配置，也是可以正常訪問(wèn)的。

location ^~ /modules/abm/ {
        proxy_ssl_server_name on;
        proxy_ssl_name 域名;
        proxy_set_header Host 域名;
        proxy_pass https://abtest_management_api_backend/modules/abm/;
        proxy_read_timeout 1800s;
        proxy_set_header Origanization-Id qiancheng;
        proxy_set_header X-Real-IP $clientRealIp;
        proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
        proxy_pass_header    X-Accel-Buffering;
    }

upstream abtest_management_api_backend {
        server 域名:443;

    }

問(wèn)題解決，搞定??！

四、原因分析

仔細(xì)查看nginx error日志日志如下：

2023/07/07 00:03:56 [error] 29533#29533: *115403747 SSL_do_handshake() failed (SSL: error:14094410:SSL routines:ssl3_read_bytes:sslv3 alert handshake failure:SSL alert number 40) while SSL handshaking to upstream, client: 192.168.73.157, server: localhost, request: "HEAD /modules/abm/_sendata_ab_testing/nm_rc-virtual-list-_c6c90.73efda43.js HTTP/1.1", upstream: "https://114.80.1xxx1:443/modules/abm/_sendata_ab_testing/nm_rc-virtual-list-_c6c90.73efda43.js", host: "sc.xxx.com"

報(bào)錯(cuò)分析：在本地環(huán)境直接請(qǐng)求域名正常；但使用了nginx反向代理，在請(qǐng)求時(shí)DNS域名進(jìn)行解析，真正請(qǐng)求出去的為IP與端口，但對(duì)方系統(tǒng)是多個(gè)域名對(duì)應(yīng)一個(gè)公網(wǎng)ip，這個(gè)一個(gè)公網(wǎng)IP下映射到了多個(gè)項(xiàng)目和服務(wù)，通過(guò)nginx的server_name進(jìn)行區(qū)分，故直接請(qǐng)求不通。

所以能成功請(qǐng)求方式有兩種：

1、直接域名請(qǐng)求。

2、IP端口請(qǐng)求，但請(qǐng)求時(shí)需添加host。

即在nginx配置項(xiàng)中增加。

proxy_ssl_server_name on。

或者設(shè)置請(qǐng)求頭。

proxy_ssl_server_name on。

proxy_ssl_name 域名。

proxy_set_header Host 域名。

（當(dāng)你的nginx服務(wù)器作為反向代理，將client的請(qǐng)求轉(zhuǎn)發(fā)到一個(gè)SSL服務(wù)器時(shí)，需要在HTTP請(qǐng)求頭中包含SSL服務(wù)器的名稱，這樣SSL服務(wù)器才能正確地響應(yīng)該請(qǐng)求。proxy_ssl_name指令就是設(shè)置proxy_pass指令所代理的SSL服務(wù)器的名稱，即www.example.com。這樣，在轉(zhuǎn)發(fā)請(qǐng)求時(shí)，nginx就會(huì)在請(qǐng)求頭中添加"Host: www.example.com"的參數(shù)，保證請(qǐng)求被正確地路由到目標(biāo)SSL服務(wù)器。）

小知識(shí)：1.多個(gè)域名訪問(wèn)不同系統(tǒng)，使用同一個(gè)公網(wǎng)IP的情況；可以多個(gè)域名配置同一個(gè)公網(wǎng)IP和端口，映射到不同服務(wù)的nginx代理上，通過(guò)nginx配置server_name識(shí)別源域名，判定訪問(wèn)來(lái)源，進(jìn)行請(qǐng)求處理。2.反向代理https請(qǐng)求，nginx編譯安裝時(shí)需要增加配置模塊--with-http_ssl_module 3.使用阿里云的SLB作為負(fù)載均衡，證書(shū)可以配置在SLB上，但是要選擇七層負(fù)載均衡。4.為啥添加host的時(shí)候只能寫(xiě)域名，不能通過(guò)變量獲取。

proxy_set_header可以設(shè)置Host為、host與$http_host。

host的值設(shè)置為$proxy_host，是指nginx.conf的proxy_pass中設(shè)置的host值，也就是192.168.1.3，也就是服務(wù)器的IP地址。

不是一個(gè)固定的變量，他其實(shí)是http_HEADER通配后的結(jié)果。

http_content_type表示請(qǐng)求頭里content-type屬性的值，同理，$http_host指的就是請(qǐng)求頭里的host屬性。

$host是core模塊內(nèi)部的一個(gè)變量。

當(dāng)請(qǐng)求頭里不存在Host屬性或者是個(gè)空值，$host則等于server_name

如果請(qǐng)求頭里有Host屬性，那么host就是www.example.com

• 參考文檔 https://www.cnblogs.com/faberbeta/p/nginx012.html https://blog.dianduidian.com/post/nginx反向代理當(dāng)后端為https時(shí)的一些細(xì)節(jié)和原理/。