我要评论proxy_ssl_server_name 是 nginx 反向代理 https 后端时的关键指令,用于启用 sni(server name indication) 扩展,解决后端多域名虚拟主机场景下的证书匹配失败问题。
问题场景
当 nginx 作为反向代理向后端 https 服务器发起连接时:
location / {
proxy_pass https://10.0.0.5; # 后端是 ip 地址
}后端服务器托管了多个域名证书(虚拟主机),依赖 sni 判断返回哪张证书:
- 收到 sni =
api.internal.com→ 返回 a 证书 - 收到 sni =
svc.internal.com→ 返回 b 证书 - 无 sni → 返回默认证书(可能是自签名或通配符证书)
如果 nginx 不发送 sni,后端可能返回错误的证书,导致 nginx 验证失败:
ssl: error:0a000086:ssl routines::certificate verify failed
基础解决方案
location / {
proxy_pass https://backend.example.com;
# 核心:启用 sni,发送 host 头作为服务器名
proxy_ssl_server_name on;
# 验证后端证书(生产环境必须开启)
proxy_ssl_verify on;
proxy_ssl_trusted_certificate /etc/nginx/certs/ca.crt;
# 发送的 sni 名称(默认使用 proxy_pass 中的主机名)
proxy_ssl_name backend.example.com;
}进阶配置方案
1. 变量动态 sni(多租户/动态上游)
http {
# 根据请求特征动态选择后端 sni
map $host $backend_sni {
default "api.internal.com";
"client-a.example.com" "a-api.internal.com";
"client-b.example.com" "b-api.internal.com";
}
server {
location / {
proxy_pass https://$backend_sni;
# 启用 sni 并使用变量指定名称
proxy_ssl_server_name on;
proxy_ssl_name $backend_sni;
proxy_ssl_verify on;
proxy_ssl_trusted_certificate /etc/nginx/certs/ca-chain.crt;
}
}
}2. ip 地址上游 + 显式 sni 名称
upstream backend_nodes {
server 10.0.1.10:443;
server 10.0.1.11:443;
}
server {
location / {
proxy_pass https://backend_nodes;
# 必须使用 proxy_ssl_name 指定证书中的 cn/san
proxy_ssl_server_name on;
proxy_ssl_name api.internal.example.com;
proxy_ssl_verify on;
proxy_ssl_trusted_certificate /etc/nginx/certs/internal-ca.crt;
# 透传原始 host(与 sni 分离)
proxy_set_header host $host;
}
}3. 分层证书验证策略
server {
location /api/ {
proxy_pass https://api.internal:443;
proxy_ssl_server_name on;
proxy_ssl_name api.internal;
# 严格验证 + 深度
proxy_ssl_verify on;
proxy_ssl_verify_depth 2;
proxy_ssl_trusted_certificate /etc/nginx/certs/ca-bundle.crt;
# 会话复用优化
proxy_ssl_session_reuse on;
}
location /legacy/ {
proxy_pass https://old.internal:443;
proxy_ssl_server_name on;
proxy_ssl_name old.internal;
# 旧系统可能证书过期,临时放宽(不推荐长期)
# proxy_ssl_verify off;
}
}4. 与 resolver 配合的动态后端
server {
resolver 10.0.0.2 valid=10s;
location / {
set $target "service.consul";
proxy_pass https://$target:443;
# 动态解析时必须显式设置 sni
proxy_ssl_server_name on;
proxy_ssl_name service.consul;
proxy_ssl_verify on;
proxy_ssl_trusted_certificate /etc/nginx/certs/consul-ca.crt;
}
}关键指令关联
| 指令 | 作用 | 与 proxy_ssl_server_name 关系 |
|---|---|---|
| proxy_ssl_server_name | 启用 tls sni 扩展 | 主开关,默认 off |
| proxy_ssl_name | 指定发送的 sni 主机名 | 默认使用 proxy_pass url 中的主机名 |
| proxy_ssl_verify | 验证后端证书链 | 依赖正确的 sni 获取对应证书 |
| proxy_ssl_trusted_certificate | ca 证书路径 | 用于验证后端返回的证书 |
| proxy_ssl_verify_depth | 验证链深度 | 防止中间人攻击 |
常见错误排查
错误 1:upstream ssl certificate does not match
# ❌ 错误:ip 代理无 sni,后端返回默认证书 proxy_pass https://10.0.0.5; # ✅ 修正:启用 sni 并指定期望的证书域名 proxy_ssl_server_name on; proxy_ssl_name api.example.com; proxy_pass https://10.0.0.5;
错误 2:ssl routines::shutdown while in init
后端要求 sni 但未发送,或 tls 版本不匹配:
proxy_ssl_server_name on; proxy_ssl_protocols tlsv1.2 tlsv1.3; proxy_ssl_ciphers high:!anull:!md5;
错误 3:通配符证书匹配失败
# 后端证书为 *.example.com proxy_ssl_server_name on; proxy_ssl_name api.example.com; # 正确:具体子域名 # proxy_ssl_name *.example.com; # 错误:sni 不支持通配符写法
调试配置
server {
location / {
proxy_pass https://backend;
proxy_ssl_server_name on;
proxy_ssl_name backend.example.com;
# 临时开启详细日志(需编译时启用 debug)
error_log /var/log/nginx/debug.log debug;
# 添加响应头确认后端信息(调试用)
add_header x-debug-upstream $upstream_addr;
add_header x-debug-ssl-name $proxy_ssl_name;
}
}完整生产模板
upstream api_backend {
server 10.0.2.10:443 weight=5;
server 10.0.2.11:443 weight=5;
keepalive 100;
}
server {
listen 443 ssl http2;
server_name gateway.example.com;
# 客户端到 nginx 的证书
ssl_certificate /etc/nginx/certs/gateway.crt;
ssl_certificate_key /etc/nginx/certs/gateway.key;
location /api/ {
proxy_pass https://api_backend;
# === sni 核心配置 ===
proxy_ssl_server_name on;
proxy_ssl_name api.internal.example.com;
# 证书验证
proxy_ssl_verify on;
proxy_ssl_verify_depth 2;
proxy_ssl_trusted_certificate /etc/nginx/certs/internal-ca-bundle.crt;
# 连接优化
proxy_ssl_session_reuse on;
proxy_ssl_protocols tlsv1.2 tlsv1.3;
# 标准代理头
proxy_set_header host $host;
proxy_set_header x-real-ip $remote_addr;
proxy_set_header x-request-id $request_id;
}
}核心要点:当 proxy_pass 使用 ip 地址或上游组(upstream)时,必须显式设置 proxy_ssl_server_name on + proxy_ssl_name,确保后端能选择正确的虚拟主机证书完成 tls 握手。
到此这篇关于nginx proxy_ssl_server_name 解决后端多域名证书匹配失败的方法的文章就介绍到这了,更多相关nginx proxy_ssl_server_name 多域名匹配内容请搜索代码网以前的文章或继续浏览下面的相关文章希望大家以后多多支持代码网!
发表评论