16

我需要使用 Nginx 作为 SSL 代理,它根据子域将流量转发到不同的后端。

我似乎到处都应该定义多个“服务器{”部分,但这对于 SSL 不起作用。这样做我将始终在第一个虚拟主机中处理 SSL,因为在您处理 https 流量之前,服务器名称是未知的。

设想:

  • 一个 IP 地址
  • 一个 SSL 通配符通配符

  • 需要访问的多个后端,如下所示:

    https://one.mysite.com/ -> http://localhost:8080
https://two.mysite.com/ -> http://localhost:8090

Nginx 说“如果”是邪恶的:http ://wiki.nginx.org/IfIsEvil ,但我还能做什么?

我已经尝试过了,但它不起作用,我收到 500 错误,但错误日志中没有任何内容。

    server {
    listen 443;
    server_name *.mysite.com;

    ssl on;
    ssl_certificate ssl/mysite.com.crt;
    ssl_certificate_key ssl/mysite.com.key;

    location / {
        if ($server_name ~ "one.mysite.com") {
            proxy_pass http://localhost:8080;
        }
        if ($server_name ~ "two.mysite.com") {
            proxy_pass http://localhost:8090;
        }
    }

有没有人设法用 Nginx 做到这一点?任何帮助/替代方案,链接,将不胜感激。

4

3 回答 3

28

我找到了基本上是在“服务器”块之外定义 SSL 选项和 SSL 证书的解决方案:

ssl_certificate ssl/mysite.com.crt;
ssl_certificate_key ssl/mysite.com.key;
ssl_session_timeout  5m;
ssl_protocols        SSLv3 TLSv1;
ssl_ciphers          ALL:!ADH:!EXPORT56:RC4+RSA:+HIGH:+MEDIUM:+EXP;
ssl_prefer_server_ciphers   on;

server {
    listen 80;
    server_name *.mysite.com;
    rewrite ^ https://$host$request_uri? permanent;
}
server {
    listen 443 ssl;
    server_name one.mysite.com;

    ssl on;

    location / {
        proxy_pass http://localhost:8080;
    }
}
server {
    listen 443 ssl;
    server_name two.mysite.com;

    ssl on;

    location / {
        proxy_pass http://localhost:8090;
    }
}

关键事项:

  • “ssl 开启;” 是唯一需要在侦听 https 的“服务器”块内的东西,您也可以将其放在外面,但是什么会使侦听端口 80 的“服务器”块使用 https 协议而不是预期的 http。
  • 因为“ssl_certificate”、“ssl_ciphers: 和其他“ssl_*”在“server”块之外,Nginx 在没有 server_name 的情况下进行 SSL 卸载。这是它应该做的,因为 SSL 解密不能基于任何主机名发生, 因为在这个阶段 URL 是加密的。
  • JAVA 和 curl 现在不会失败。没有 server_name - 主机未匹配。
于 2013-08-20T14:44:09.813 回答
4

简短的回答是使用Server Name Indication。默认情况下,这应该在常见的浏览器和 cURL 中有效。

于 2013-08-20T16:13:24.837 回答
1

根据http://www.informit.com/articles/article.aspx?p=1994795,您确实应该有两个“服务器”部分,具有两个不同的服务器名称。在每一个中,您都应该包含您的 ssl_* 指令。

于 2013-08-19T18:24:32.883 回答