nginx做代理https遇到SSL_do_handshake()握手失败

最新推荐文章于 2025-07-09 16:12:59 发布
原创 最新推荐文章于 2025-07-09 16:12:59 发布 · 1.6w 阅读 · 6 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#ssl #proxy_ssl_session_reuse

这个问题真的时,困扰我一段时间了,反向代理时,设置了

proxy_ssl_protocols XXXX;
#proxy_ssl_ciphers   ECC-SM4-SM3;
proxy_ssl_session_reuse off;

一开始的时候由于看到了这个:

proxy_ssl_session_reuse指令配置,当下一次nginx转发一个连接到后端服务器时,会话参数会被重复使用,从而更快的建立安全连接。

乍一看,好像说的挺对,就是节省时间了,然后就配置成了on,结果呢,只能成功访问一次,在次访问的时候,就报错了,抓包看的话,会发现在SSL握手中,SSL协议的版本,已经不是上面使用proxy_ssl_protocols 设置的协议了,当然握手失败了,

另外一种说法是:

根据反馈是短时间内连续性请求则会返回502错误,查询资料发现nginx默认会尝试重新使用SSL上游的SSL会话。

改成 proxy_ssl_session_reuse off;  问题解决。

【linux】nginx:SSL: error:140AB18F:SSL routines:SSL_CTX_use_certificate:ee key too small
九师兄
05-01 1561
1.概述 事故起因参考:【linux】nginx: [emerg] the “ssl“ parameter requires ngx_http_ssl_module 注意:centos版本如果是CentOS Linux release 8.0.1905 (Core)版本,私钥长度不能设置成1024位,必须2048位。不然再最后启动nginx时会出如下错误。 [root@zdh2 nginx-1.18.0]# /usr/local/nginx/sbin/nginx -t -c /usr/local/ng.
NGINX HTTPS SSL: error:140770FC:SSL routines:SSL23_GET_SERVER_HELLO:unknown protocol
热门推荐
Default
07-05 1万+
目录 1.nginx错误日志 2.错误的nginx.conf配置 3.请求 4.正确的nginx.conf配置 5.请求 6.分析 1.nginx错误日志 2019/07/05 13:16:12 [error] 93333#0: *2597 SSL_do_handshake() failed (SSL: error:140770FC:SSL routines:SSL23_GET_S...
nginx反向代理报错peer closed connection in SSL handshake while SSL handshaking to upstream
u013930899的博客
09-21 1万+
nginx反向代理报错peer closed connection in SSL handshake while SSL handshaking to upstream
解决nginx报错 *11 peer closed connection in SSL handshake (104: Connection reset by peer) while SSL
空山新雨后,天气晚来秋
08-20 1万+
解决nginx报错 *11 peer closed connection in SSL handshake (104: Connection reset by peer) while SSL
浏览器 | SSL Handshake Failed 报错 525
weixin_42479421的博客
07-09 1579
安全套接字层 (SSL)和传输层安全 (TLS)是用于验证服务器和外部系统(如浏览器)之间数据传输的协议。需要 SSL 证书才能使用 HTTPS保护你的网站。SSL 握手是建立 HTTPS 连接过程的第一步。为了验证和建立连接,用户的浏览器和网站的服务器必须经过一系列检查(握手),这些检查建立了 HTTPS 连接参数。客户端(通常是浏览器)向服务器发送安全连接请求。发送请求后,服务器会向你的计算机发送一个公钥,并根据证书列表检查该密钥。然后计算机生成一个密钥并使用从服务器发送的公钥对其进行加密。
Nginx正向代理https时502
凡人运维传
11-10 1万+
报错提示: *1871 SSL_do_handshake() failed (SSL: error:14077410:SSL routines:SSL23_GET_SERVER_HELLO:sslv3 alert handshake failure) while SSL handshaking to upstream 场景: 今天开发反馈跟携程那边有个项目合作,需要应用能访问对方的域名。 由于我们的应用是部署在内网,只能通过nginx代理才能访问到对方的域名,本着多年背锅经验,一个nginx配置信手拈
Nginx错误解决实战:SSL_do_handshake() failed
Fly的博客
11-07 1万+
这意味着Nginx会尝试重用SSL会话,以提高性能。经过查看nginx相关文档发现默认情况下,服务器偶发报警错误日志。然后nginx修改配置。重新加载nginx配置。
nginx正向代理https遇到SSL_do_handshake()握手失败
HH_KELE的专栏
10-15 5874
SSL_do_handshake() failed (SSL: error:1408F10B:SSL routines:SSL3_GET_RECORD:wrong version number) while SSL handshaking to upstream, client:......    解决方式是配置文件增加: proxy_ssl_session_reus...
nginx转发httpsSSL_do_handshake() failed
weixin_42612454的博客
12-06 1万+
SSL_do_handshake() failed (SSL: error:14094410:SSL routines:ssl3_read_bytes:sslv3 alert handshake failure:SSL alert number 40) while SSL handshaking to upstream
深入理解nginxhttps sni机制
一个致力于开源代码学习、分析和交流的博客
02-29 2512
本文从ssl上下文的初始化、ssl连接的初始化、sni回调处理,到最后动态证书加载的整个流程说明了nginx sni的实现过程
nginx stream proxy 模块的ssl连接源码分析
一个致力于开源代码学习、分析和交流的博客
02-07 3025
本为对 nginx的ngx_stream_proxy_module与上游服务器建立ssl连接的过程进行了详细分析。
nginx正向代理https网站
一个致力于开源代码学习、分析和交流的博客
02-23 8673
本文描述了如何通过nginx代理来实现内网服务器的yum访问。
解决之道:处理Nginx负载均衡中的SSL握手失败问题
2401_85763803的博客
08-28 1456
通过本文的分析和讨论,你应该能够了解SSL握手失败的原因,并掌握在Nginx负载均衡中处理这些问题的方法。随着网络安全形势的不断变化,持续监控和更新SSL/TLS配置是确保Web应用安全的关键。Nginx 是一种广泛使用的高性能 HTTP 服务器和反向代理,支持SSL/TLS协议,可以为Web应用提供安全的连接。然而,在配置SSL/TLS时,可能会遇到SSL握手失败的问题,这会导致客户端无法建立安全的连接。在Nginx配置中指定支持的SSL/TLS版本和密码套件,以匹配客户端的能力。
nginx反向代理网页502、SSL_do_handshake()握手失败
weixin_64051447的博客
04-06 1437
ssl握手时,默认不发送主机名,以ip连接服务器,当服务器上有多个虚拟主机使用同一个ip时,默认返回第一个可用证书,这样就导致证书无法匹配。解决同一ip,使用多个证书的情况,在ssl握手时插入host信息,使服务器能根据host找到正确的域名,并返回对应的ssl证书。日志抬上来,ssl失败,那我不用https不就行了,proxy_pass 代理换成http的后,果然可以访问!配置反向代理后,开发反馈网页502,手里辣条吃完,自己试了一把,竟然不行。reload后重新访问,收工!看看配置文件,没什么问题。
502错误_nginxSSL_do_handshake()
NoteDing
06-19 1万+
SSL过期出现问题 SSL_do_handshake() failed (SSL: error:1408F10B:SSL routines:SSL3_GET_RECORD:wrong version number) while SSL handshaking to upstream, client:...... 根据反馈是短时间内连续性请求则会返回502错误,查询资料发现nginx默认会尝试重新...
mysql57 193 0xcl_Nginx SSL_do_handshake()失败SSL:错误:1417D18C:SSL
weixin_42604188的博客
02-07 1042
今天我们在我们的服务器上安装了一个SSL证书(来自letsencrypt),该服务器拥有一个非常繁忙的网站.几个小时后,我们注意到有些用户从nginx收到错误:2018/03/28 13:04:48 [crit] 8997#8997: *604175694 SSL_do_handshake() failed (SSL: error:1417D18C:SSL routines:tls_process...
解决 SSL握手失败问题
xiao44_java的专栏
10-18 1961
ssl握手抓包
SSL_do_handshake() failed (SSL: error:140770FC:SSL routines:SSL23_GET_SERVER_HELLO:unknown protocol
weixin_40288231的博客
07-08 1万+
配置nginx反向代理Tomcat证书发现502 nginx报错: SSL_do_handshake() failed (SSL: error:140770FC:SSL routines:SSL23_GET_SERVER_HELLO:unknown protocol) while SSL handshaking to upstream 解决: 将图片中http_pass中的https改成http即可 问题解决 ...
nginx: [emerg] no proxy_ssl_trusted_certificate for proxy_ssl_verify
最新发布
07-30
<think>我们正在解决用户遇到的错误:配置Nginx时出现`no proxy_ssl_trusted_certificate for proxy_ssl_verify`错误。 这个错误通常发生在以下情况: 1. 启用了`proxy_ssl_verify`(用于验证上游服务器的证书)但没有配置`proxy_ssl_trusted_certificate`(或`proxy_ssl_verify_depth`)来指定信任的CA证书。 2. 配置了`proxy_ssl_trusted_certificate`但路径错误或权限问题。 解决方案: 1. 确保在配置了`proxy_ssl_verify on;`的同时,配置`proxy_ssl_trusted_certificate`指向一个包含信任的CA证书链的文件(通常为PEM格式)。 2. 检查证书文件路径是否正确,以及Nginx进程是否有读取权限。 3. 如果需要,可以设置`proxy_ssl_verify_depth`来指定证书链验证深度。 注意:`proxy_ssl_trusted_certificate`文件应包含一个或多个信任的CA证书,用于验证上游服务器的证书。这个文件与`proxy_ssl_certificate`不同,后者是客户端证书(用于双向SSL认证)。 示例配置: 在`location`或`server`块中(与`proxy_pass`一起): proxy_ssl_verify on; proxy_ssl_trusted_certificate /path/to/trusted_ca_cert.pem; proxy_ssl_verify_depth 2; # 可选,默认值为1 如果没有可用的CA证书文件,可以尝试使用系统的CA证书,例如: proxy_ssl_trusted_certificate /etc/ssl/certs/ca-certificates.crt; # 在Ubuntu/Debian上 proxy_ssl_trusted_certificate /etc/pki/tls/certs/ca-bundle.crt; # 在CentOS/RHEL上 如果确实不需要验证上游服务器的证书(不推荐,存在安全风险),可以关闭验证: proxy_ssl_verify off; 但为了安全,建议总是开启验证并使用正确的CA证书。 另外,如果上游服务器使用的是自签名证书,那么需要将自签名证书的CA证书(或服务器证书本身)添加到`proxy_ssl_trusted_certificate`指定的文件中。 步骤: 1. 创建或获取CA证书文件(PEM格式)。 2. 在Nginx配置中指定该文件路径。 3. 测试配置:`sudo nginx -t` 4. 重载Nginx:`sudo nginx -s reload` 权限问题处理(如果Nginx无法读取文件): sudo chmod 644 /path/to/trusted_ca_cert.pem sudo chown root:root /path/to/trusted_ca_cert.pem # 或者改为Nginx运行用户 如果使用Docker,确保证书文件已挂载到容器内,并且路径正确。 下面是一个完整的配置示例(以微信支付代理为例):</think>### 解决 "no proxy_ssl_trusted_certificate for proxy_ssl_verify" 错误 这个错误表明您启用了上游服务器证书验证 (`proxy_ssl_verify on`),但未配置受信任的CA证书文件 (`proxy_ssl_trusted_certificate`)。以下是完整解决方案: --- ### 错误原因分析 1. **缺少CA证书链配置**:`proxy_ssl_verify`需要`proxy_ssl_trusted_certificate`指定受信任的CA证书 2. **证书路径错误**:指定的CA证书文件不存在或路径不正确 3. **权限问题**:Nginx进程无权读取证书文件 4. **证书格式错误**:CA证书不是PEM格式 --- ### 完整修复方案 ```nginx location /wechat-api/ { proxy_pass https://api.mch.weixin.qq.com; # 客户端证书配置 proxy_ssl_certificate /etc/nginx/certs/client.crt; proxy_ssl_certificate_key /etc/nginx/certs/client.key; # 修复错误的关键配置 ▼ proxy_ssl_verify on; # 启用上游证书验证 proxy_ssl_trusted_certificate /etc/nginx/certs/wechat_ca_bundle.crt; # 微信支付CA证书链 proxy_ssl_verify_depth 2; # 验证深度 # 安全增强配置 proxy_ssl_protocols TLSv1.2 TLSv1.3; proxy_ssl_ciphers 'ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256'; proxy_ssl_session_reuse on; } ``` --- ### 关键配置说明 | 配置项 | 作用 | 必需 | |-------|------|------| | `proxy_ssl_trusted_certificate` | 指定受信任的CA证书链文件(PEM格式) | ✅ | | `proxy_ssl_verify on` | 启用上游服务器证书验证 | ✅ | | `proxy_ssl_verify_depth` | 设置证书链验证深度(微信推荐≥2) | 推荐 | | `proxy_ssl_ciphers` | 安全加密套件(参考微信要求) | 推荐 | --- ### 分步解决指南 1. **获取微信支付CA证书链** ```bash # 下载微信支付根证书 curl -o wechat_root_ca.crt https://www.wosign.com/cert/rootca.crt # 创建证书链文件 cat wechat_root_ca.crt > /etc/nginx/certs/wechat_ca_bundle.crt ``` 2. **验证证书链完整性** ```bash openssl verify -CAfile /etc/nginx/certs/wechat_ca_bundle.crt \ -untrusted /etc/nginx/certs/client.crt # 应返回 "OK" ``` 3. **修复文件权限** ```bash chmod 644 /etc/nginx/certs/*.crt chown nginx:nginx /etc/nginx/certs/ -R # 根据实际Nginx用户调整 ``` 4. **配置验证深度(微信支付要求)** ```nginx proxy_ssl_verify_depth 2; # 验证完整证书链 ``` 5. **测试并重载配置** ```bash nginx -t && nginx -s reload ``` --- ### 微信支付特殊配置要点 1. **强制域名验证** ```nginx proxy_ssl_name api.mch.weixin.qq.com; # 验证证书域名 proxy_set_header Host api.mch.weixin.qq.com; ``` 2. **证书自动更新机制** ```bash # 证书更新脚本示例 #!/bin/bash NEW_CERT="/path/to/new_ca_bundle.crt" CONFIG_FILE="/etc/nginx/nginx.conf" cp $NEW_CERT /etc/nginx/certs/wechat_ca_bundle.crt nginx -t && nginx -s reload || echo "Reload failed" ``` 3. **错误日志监控** ```bash # 实时监控SSL握手错误 tail -f /var/log/nginx/error.log | grep "SSL_do_handshake" ``` --- ### 完整配置模板 ```nginx http { # 优化SSL设置 [^1] ssl_protocols TLSv1.2 TLSv1.3; ssl_ciphers EECDH+AESGCM:EDH+AESGCM:AES256+EECDH:AES256+EDH; ssl_prefer_server_ciphers on; server { listen 443 ssl; server_name pay.example.com; # 服务器证书 ssl_certificate /etc/nginx/certs/server.crt; ssl_certificate_key /etc/nginx/certs/server.key; location /v3/ { proxy_pass https://api.mch.weixin.qq.com/v3/; # 微信支付客户端证书 proxy_ssl_certificate /etc/nginx/certs/wx_client.crt; proxy_ssl_certificate_key /etc/nginx/certs/wx_client.key; # 修复验证错误的核心配置 proxy_ssl_verify on; proxy_ssl_trusted_certificate /etc/nginx/certs/wx_ca_bundle.crt; proxy_ssl_verify_depth 2; proxy_ssl_name api.mch.weixin.qq.com; # 安全增强 proxy_ssl_protocols TLSv1.2; proxy_ssl_ciphers 'ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384'; proxy_ssl_session_reuse on; } } } ``` 通过以上配置,可彻底解决 `no proxy_ssl_trusted_certificate for proxy_ssl_verify` 错误,并满足微信支付的安全要求[^1]。
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值