Обновление обратного прокси-сервера nginx с nginx 1.17 до nginx 1.18 дает ошибку SSL

Fernando Fabreti

27.12.2022, 01:46

У меня проблемы с обновлением nginx с 1.17 до 1.18 (или .19, .20) На 1.17 все работает нормально, но более высокие версии выдают эту ошибку:

27.08.2021 01:14:45 [ошибка] 22#22: *8 одноранговое соединение закрыто при квитировании SSL (104: соединение сброшено узлом) при квитировании SSL к восходящему, клиент: 192.168.**.**, сервер : api******.hm.*******.gov.br, запрос: «GET /favicon.ico HTTP/1.1», восходящий поток: «https://192.168.**.* *:443/favicon.ico", хост: "api*******.hm.********.gov.br"

Ошибка возникает только тогда, когда восходящий поток является внутренним сервером IIS. Когда вышестоящим является другой nginx, он работает с версиями выше 1.17.

конфиг в основном:

место расположения  / {
    proxy_pass https://$host.***.br$uri$is_args$args;

я пытался использовать proxy_ssl_verify выключен безуспешно. Сертификат IIS создается самостоятельно.

пожалуйста, порекомендуйте

271

1 + 3

iis

digijay

27.12.2022, 05:54

Вы пытались добавить `proxy_ssl_server_name on;`?

Ответить

Fernando Fabreti

27.12.2022, 09:33

Да . У меня есть. Та же ошибка

Ответить

digijay

27.12.2022, 09:55

Тогда, скорее всего, это то, что сказал Теро Килканен.

Ответить

Рейтинг:1

Server

Tero Kilkanen

27.12.2022, 07:01

Это похоже на проблему с версиями TLS. Может быть, ваш внутренний сервер IIS недостаточно новый, чтобы поддерживать протокол TLS, который требуется nginx?

Попробуйте добавить proxy_ssl_protocols директива, содержащая версии SSL/TLS, поддерживаемые вашим IIS.

0 + 2

Fernando Fabreti

27.12.2022, 09:36

Спасибо, попробую. Любые средства для отладки обмена строками этих протоколов?

Ответить

Fernando Fabreti

27.12.2022, 12:27

Я добавил «proxy_ssl_protocols TLSv1 TLSv1.1» (а не TLSv2) в блок местоположения, и он принял шифры IIS 8.5 (IIS работает на W2012r2). Тогда я приму ответ, потому что он вывел меня из состояния ошибки. НО, лучшим подходом было бы обновить IIS для поддержки TLSv2, и я также буду работать над этой конфигурацией.

Ответить

Admin

Этот вопрос на других языках:

EN: nginx reverse-proxy upgrade from nginx 1.17 to nginx 1.18 gives SSL error

TH: อัปเกรด nginx reverse-proxy จาก nginx 1.17 เป็น nginx 1.18 ให้ข้อผิดพลาด SSL

RO: Upgrade-ul reverse-proxy nginx de la nginx 1.17 la nginx 1.18 dă o eroare SSL

RU: Обновление обратного прокси-сервера nginx с nginx 1.17 до nginx 1.18 дает ошибку SSL

VI: nâng cấp proxy ngược nginx từ nginx 1.17 lên nginx 1.18 gây ra lỗi SSL

Ответить или комментировать

Большинство людей не понимают, что склонность к познанию нового открывает путь к обучению и улучшает межличностные связи. В исследованиях Элисон, например, хотя люди могли точно вспомнить, сколько вопросов было задано в их разговорах, они не чувствовали интуитивно связи между вопросами и симпатиями. В четырех исследованиях, в которых участники сами участвовали в разговорах или читали стенограммы чужих разговоров, люди, как правило, не осознавали, что задаваемый вопрос повлияет — или повлиял — на уровень дружбы между собеседниками.