proxy nginx basato su host quando si utilizza https

Question

Ho bisogno di utilizzare Nginx come proxy SSL, che inoltra il traffico a back-end diversi a seconda del sottodominio.

Mi sembra che dovrei definire più sezioni "server {" ma che non funziona correttamente per SSL. In questo modo avrei sempre elaborato il protocollo SSL nel primo host virtuale in quanto il nome del server è sconosciuto fino a quando non elabori il traffico https.

Scenario:

• Un indirizzo IP
• One SSL jolly jolly

• più backend che deve essere letta come la seguente:

  https://one.mysite.com/ -> http://localhost:8080 
  https://two.mysite.com/ -> http://localhost:8090 
  

Nginx dice " se "è il male: http://wiki.nginx.org/IfIsEvil, ma che altro posso fare?

Ho provato questo, ma non funziona, ottengo un errore 500 ma nulla nei log degli errori.

server { 
    listen 443; 
    server_name *.mysite.com; 

    ssl on; 
    ssl_certificate ssl/mysite.com.crt; 
    ssl_certificate_key ssl/mysite.com.key; 

    location/{ 
     if ($server_name ~ "one.mysite.com") { 
      proxy_pass http://localhost:8080; 
     } 
     if ($server_name ~ "two.mysite.com") { 
      proxy_pass http://localhost:8090; 
     } 
    } 

Qualcuno è riuscito a realizzare questo con Nginx? Qualsiasi aiuto/alternative, link, sarebbe molto apprezzato.

Answer 1

ho trovato la soluzione, che è sostanzialmente quella di definire le opzioni SSL e il certificato SSL di fuori del blocco "server":

ssl_certificate ssl/mysite.com.crt; 
ssl_certificate_key ssl/mysite.com.key; 
ssl_session_timeout 5m; 
ssl_protocols  SSLv3 TLSv1; 
ssl_ciphers   ALL:!ADH:!EXPORT56:RC4+RSA:+HIGH:+MEDIUM:+EXP; 
ssl_prefer_server_ciphers on; 

server { 
    listen 80; 
    server_name *.mysite.com; 
    rewrite^https://$host$request_uri? permanent; 
} 
server { 
    listen 443 ssl; 
    server_name one.mysite.com; 

    ssl on; 

    location/{ 
     proxy_pass http://localhost:8080; 
    } 
} 
server { 
    listen 443 ssl; 
    server_name two.mysite.com; 

    ssl on; 

    location/{ 
     proxy_pass http://localhost:8090; 
    } 
} 

cose fondamentali:

• "SSL su;" è l'unica cosa che deve essere all'interno dei blocchi "server" che ascoltano in https, puoi metterlo anche fuori, ma cosa renderà i blocchi "server" che ascoltano nella porta 80 per usare il protocollo https e non l'http previsto.
• Poiché "ssl_certificate", "ssl_ciphers: e altri" ssl_ * "si trovano all'esterno del blocco" server ", Nginx esegue lo scaricamento SSL senza un nome_server. Che è ciò che dovrebbe fare, poiché la decrittografia SSL non può avvenire in base a .. alcun nome host, come in questa fase l'URL è crittografato
• JAVA e arricciare non riescono a lavorare adesso non c'è nome_server - partita di perdere ospite

Answer 2

in base allo http://www.informit.com/articles/article.aspx?p=1994795, si dovrebbero infatti avere due sezioni "server", con due diversi nomi di server. In ognuno di essi, dovresti includere le tue direttive ssl_ *.

Answer 3

la risposta breve è quella di utilizzare Server Name Indication.. Questo dovrebbe funzionare di default nei browser comuni e cURL.