如何通过配置proxy_ssl_server_name解决代理服务器在证书云存储中SNI匹配问题?
- 内容介绍
- 文章标签
- 相关推荐
本文共计755个文字,预计阅读时间需要4分钟。
要修改Nginx配置以正确代理到多个证书,以下是一个简化的步骤:
必须同时启用 SNI 并指定动态域名
proxy_ssl_server_name on 只是开关,它本身不决定发什么值。云存储通常一个 IP 对应成百上千个域名(如 bucket-a.example.com、bucket-b.example.com),每个域名配独立证书。Nginx 默认用 proxy_pass https://10.0.0.100 中的 IP 或写死域名当 SNI,这在云场景下完全不可用。
- 在
location块中添加:proxy_ssl_server_name on; - 紧接着配置:
proxy_ssl_name $host;(推荐)或proxy_ssl_name $http_host; - 确保
proxy_pass指向 HTTPS 地址,且协议明确,例如:proxy_pass https://storage-backend;或proxy_pass https://10.0.0.100;
应对 CDN 或 API 网关透传导致的 Host 失真
若请求先经过 CDN(如 Cloudflare、阿里云全站加速)、API 网关或 WAF,它们常会重写 Host 头为自身配置的源站名(如 origin.example.com),导致 $host 不再是用户原始域名,SNI 错配。
本文共计755个文字,预计阅读时间需要4分钟。
要修改Nginx配置以正确代理到多个证书,以下是一个简化的步骤:
必须同时启用 SNI 并指定动态域名
proxy_ssl_server_name on 只是开关,它本身不决定发什么值。云存储通常一个 IP 对应成百上千个域名(如 bucket-a.example.com、bucket-b.example.com),每个域名配独立证书。Nginx 默认用 proxy_pass https://10.0.0.100 中的 IP 或写死域名当 SNI,这在云场景下完全不可用。
- 在
location块中添加:proxy_ssl_server_name on; - 紧接着配置:
proxy_ssl_name $host;(推荐)或proxy_ssl_name $http_host; - 确保
proxy_pass指向 HTTPS 地址,且协议明确,例如:proxy_pass https://storage-backend;或proxy_pass https://10.0.0.100;
应对 CDN 或 API 网关透传导致的 Host 失真
若请求先经过 CDN(如 Cloudflare、阿里云全站加速)、API 网关或 WAF,它们常会重写 Host 头为自身配置的源站名(如 origin.example.com),导致 $host 不再是用户原始域名,SNI 错配。