一、現象

在使用nginx反向代理后端服務器的時候，因為配置的是域名，導致HTTPS 請求轉發失敗，報 SSL 錯誤，js 報 502

二、排查過程

1、查看nginx日志，發現報502，但是本地curl upstream中的后端域名是可以正常通的。

2、查看后端服務器上，沒有收到請求，說明請求沒過去，繼續排查nginx本身的配置問題，Nginx 渲染模版已支持 HTTPS，嘗試略過 upstream 配置，直接在 conf 文件中渲染 https://域名，請求仍然失敗。

3、然后換個思路，修改成內網ip不走域名，發現是正常，那換個域名試試。

然后懷疑客戶的域名有問題？但是這域名是可以訪問的，上面第一步已經測試過了。

4、這個時候只能翻一下錯誤日志，看看有什么有用的提示。

可以看到nginx錯誤日志里面有一串看不懂的報錯提示和我們訪問情況，nginx把域名解析成了一個ip地址，當我試著直接通過ip去訪問時，果然報錯了。

只能通過域名去訪問，讓我想起來了nginx同端口不同域名及禁用未綁定域名訪問的配置，確實可以實現,這是https的SNI問題，大家可以自行查閱資料。

https://www.realks.com/2021/03/07/nginx-proxy-ssl-server-name/ https://freexyz.cn/server/98212.html。

三、解決方案

為解決這個問題，nginx官方給出了一個參數配置。

然后我不使用 upstream了，而直接在 conf 文件中使用 https://域名 并且加上配置 proxy_ssl_server name_on。

但是我如果還是想用upstream來負載均衡，有沒有辦法呢？一頓操作，發現可以像下面這樣配置，也是可以正常訪問的。

location ^~ /modules/abm/ {
        proxy_ssl_server_name on;
        proxy_ssl_name 域名;
        proxy_set_header Host 域名;
        proxy_pass https://abtest_management_api_backend/modules/abm/;
        proxy_read_timeout 1800s;
        proxy_set_header Origanization-Id qiancheng;
        proxy_set_header X-Real-IP $clientRealIp;
        proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
        proxy_pass_header    X-Accel-Buffering;
    }

upstream abtest_management_api_backend {
        server 域名:443;

    }

問題解決，搞定！！

四、原因分析

仔細查看nginx error日志日志如下：

2023/07/07 00:03:56 [error] 29533#29533: *115403747 SSL_do_handshake() failed (SSL: error:14094410:SSL routines:ssl3_read_bytes:sslv3 alert handshake failure:SSL alert number 40) while SSL handshaking to upstream, client: 192.168.73.157, server: localhost, request: "HEAD /modules/abm/_sendata_ab_testing/nm_rc-virtual-list-_c6c90.73efda43.js HTTP/1.1", upstream: "https://114.80.1xxx1:443/modules/abm/_sendata_ab_testing/nm_rc-virtual-list-_c6c90.73efda43.js", host: "sc.xxx.com"

報錯分析：在本地環境直接請求域名正常；但使用了nginx反向代理，在請求時DNS域名進行解析，真正請求出去的為IP與端口，但對方系統是多個域名對應一個公網ip，這個一個公網IP下映射到了多個項目和服務，通過nginx的server_name進行區分，故直接請求不通。

所以能成功請求方式有兩種：

1、直接域名請求。

2、IP端口請求，但請求時需添加host。

即在nginx配置項中增加。

proxy_ssl_server_name on。

或者設置請求頭。

proxy_ssl_server_name on。

proxy_ssl_name 域名。

proxy_set_header Host 域名。

（當你的nginx服務器作為反向代理，將client的請求轉發到一個SSL服務器時，需要在HTTP請求頭中包含SSL服務器的名稱，這樣SSL服務器才能正確地響應該請求。proxy_ssl_name指令就是設置proxy_pass指令所代理的SSL服務器的名稱，即www.example.com。這樣，在轉發請求時，nginx就會在請求頭中添加"Host: www.example.com"的參數，保證請求被正確地路由到目標SSL服務器。）

小知識：1.多個域名訪問不同系統，使用同一個公網IP的情況；可以多個域名配置同一個公網IP和端口，映射到不同服務的nginx代理上，通過nginx配置server_name識別源域名，判定訪問來源，進行請求處理。2.反向代理https請求，nginx編譯安裝時需要增加配置模塊--with-http_ssl_module 3.使用阿里云的SLB作為負載均衡，證書可以配置在SLB上，但是要選擇七層負載均衡。4.為啥添加host的時候只能寫域名，不能通過變量獲取。

proxy_set_header可以設置Host為、host與$http_host。

host的值設置為$proxy_host，是指nginx.conf的proxy_pass中設置的host值，也就是192.168.1.3，也就是服務器的IP地址。

不是一個固定的變量，他其實是http_HEADER通配后的結果。

http_content_type表示請求頭里content-type屬性的值，同理，$http_host指的就是請求頭里的host屬性。

$host是core模塊內部的一個變量。

當請求頭里不存在Host屬性或者是個空值，$host則等于server_name

如果請求頭里有Host屬性，那么host就是www.example.com

• 參考文檔 https://www.cnblogs.com/faberbeta/p/nginx012.html https://blog.dianduidian.com/post/nginx反向代理當后端為https時的一些細節和原理/。