У меня есть несколько восходящих потоков, к которым я отправляю прокси-запросы в настройке обратного прокси-сервера nginx. Каждый из них имеет свои собственные доменные имена и соответствующие сертификаты. После включения proxy_ssl_verify в моем обратном прокси-сервере я ожидал, что nginx проверит, что CN в этом сертификате действителен для имени сервера в верхнем отделе. Это, по-видимому, не так.
Теперь я получаю такие ошибки:
71061 восходящий SSL-сертификат не соответствует «Destination5» при установлении связи SSL с восходящим потоком, клиент: 10.1.5.5, RequestID: a0b7c7080921bacac7d4bfffcb608434, сервер: «myservice.example.com», запрос: «POST / HTTP/1.1», восходящий поток: «https ://100.1.1.1:443/", хост: "myservice.example.com"
Я вижу в нескольких других вопросах (как этот например), что можно переопределить ожидаемое имя с помощью proxy_ssl_name, но я не уверен, как это сделать динамически для каждого восходящего потока.
Есть ли способ сообщить nginx обработать их как сетевые новые соединения (как это было успешно сделано до принудительного применения SSL)? Есть ли какой-то эквивалент или магия, которая может получить DNS-имя вместо IP-адреса, как в $upstream_addr?
