Nginx由于TLS支持版本配置过低造成不能够正常访问Upstream服务器的问题

最新推荐文章于 2025-06-24 15:02:26 发布
最新推荐文章于 2025-06-24 15:02:26 发布
阅读量2.1w 收藏 4
点赞数 1
CC 4.0 BY-SA版权
分类专栏: 系统运维 nginx 安全相关
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/yygydjkthh/article/details/50833953
本文介绍了解决Nginx在HTTPS连接中出现TLS握手失败的问题,通过更新ssl_protocols配置来匹配上游服务器的TLS版本,从而解决了因版本不一致导致的连接问题。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

/****************************************
* Author : Samson
* Date : 03/09/2016
* Test platform:
* gcc 4.8.4
* GNU bash, 4.3.30
* Linux Mint 17
* **************************************/


在Nginx使用过程中,结果在https连接进行握手的过程中,出现了如下的错误:

SSL_do_handshake() failed (SSL: error:1409442E:SSL routines:ssl3_read_bytes:tlsv1 alert protocol version:SSL alert number 70) while SSL handshaking

应该是协议的版本号的问题,经查,是由于Nginx要访问的upstream服务器的TLS的版本已经进行了升级,而nginx的配置中并没有对支持的TLS协议进行升级,nginx原来的配置如下:
ssl_protocols SSLv2 SSLv3 TLSv1;

随着SSLv3 SSLv2协议的众多漏洞与诟病,已经很多浏览器默认不再支持此协议,以上的错误也说明了upstream服务器已经不再支持这两种协议,两端进行TLS协议的握手,只有版本号一致才能够成功,那么则在nginx端也必须配置与upstream服务器一致的版本号,则修改nginx的配置文件nginx.conf,修改如下:
ssl_protocols TLSv1 TLSv1.1 TLSv1.2;

重新启动nginx服务器后,即可以顺利地访问upstream端的服务了。

REF:

1966
Nginx负载均衡之upstream容错机制详解
wyx的博客
06-14 1393
模块 lua-resty-upstream-healthcheck 的原理是每到(interval)设定的时间,就会对被代理服务器的 HTTP 端口主动发起 GET 请求(http_req),当请求的响应状态码在确定为合法的列表(valid_status)中出现时,则认为被代理服务器是健康的,如果请求的连续(fall)设定次数返回响应状态码都未在列表(valid_status)中出现,则认为是故障状态。Nginx 被动检测机制的优点是需要增加额外进程进行健康检测,但用该方法检测是准确的。
Linux升级openssl版本、安装nginx配置https证书支持TLSv1.3
weixin_43020107的博客
03-24 2406
【代码】Linux升级openssl版本、安装nginx配置https证书支持TLSv1.3。
Nginx配置HTTPS实践以及遇到的问题
林风自在
06-23 4397
HTTP以明文的形式在浏览器之间进行数据的交互,没有任何数据加密,很容易被攻击者拦截并读懂,这很安全。因此现在很多浏览器都要求网站域名配置SSL证书,以HTTPS协议进行传输。HTTPS可以看作是HTTP+SSL协议,SSL依靠证书来验证服务器的身份,同时对浏览器与服务器之间通信进行加密。 SSL证书可以通过腾讯云进行免费申请,但前提是域名必须备案,证书的有效期为1年,1年后需手动再申请。 ...
Nginx SSL/TLS协议栈中配置深度解析与实践指南-优雅草卓伊凡
最新发布
一颗优雅草科技-央千澈的优快云博客~只想无穷无尽的学习~作息早8-晚8
06-24 1234
Nginx SSL/TLS协议栈中配置深度解析与实践指南-优雅草卓伊凡
apachenginxTLS1.0TLS1.1禁用处理方案
fwdwqdwq的博客
08-01 4718
先自我介绍一下,小编13年上师交大毕业,曾经在小公司待过,去过华为OPPO等大厂,18年进入阿里,直到现在。比较容易受攻击,目前新版本TLS协议已经更新到TLS1.2、TLS1.3,高版本TLS协议会对一些浏览器系统兼容有影响,但是从互联网通信安全考虑,建议还是禁用TLS1.0TLS1.1,启用TLS1.2TLS1.3.TLS协议其实就是网络安全传输层协议,用于在两个通信应用程序之间提供保密性数据完整性,TLS1.0TLS1.1是分别是96年06年发布的老版协议。...
执行curl时报“tlsv1 alert protocol version”问题的解决方案
进击的小宇宙
02-21 1万+
curl: (35) error:1404B42E:SSL routines:ST_CONNECT:tlsv1 alert protocol version
Delphi解决 openssl DLL 与 Indy 的SSL/TLS 连接问题
Delphi开发局QQ群:32422310
10-26 2184
​ 使用 SSL 连接时出错。错误 1409442E:SSL 例程:ssl3_read_bytes:tlsv1 警报协议版本 由于我使用的是最新版本的Indy,根据Delphi Praxis 上的此线程,这种情况应该发生。事实证明,知何故,一个非常旧版本的 openssl DLLlibeay32.dllssleay32.dll已被放置在我计算机上的 sarch 路径中(版本 1.0.0e)。
服务器当中nginx配置支持TLS v1.2协议的问题解决记录
热门推荐
yarcl的程序之家
08-22 2万+
本记录只是作为自己的一个心得体会,因为真的花了蛮长时间,可能并具备通用性,所以该文档仅作参考。 前言: 安装nginx的教程,请查看我的nginx安装教程,这里做叙述。 注意请安装支持TLS V1.2协议的openssl版本模块。 本人在项目当中要使用到微信小程序调用接口,故根据微信小程序说明文档说明,服务器应当支持https访问,并且协议要采用的TLS v1.2。我的nginx服务为...
Nginx Upstream了解一下
独立开发,个人小站:ai-bar.cn,网站中还有最近开发得一个写作软件(竹记),欢迎体验交流
04-21 2192
Nginx 的 `upstream` 模块是负载均衡的核心组件,用于定义管理后端服务器集群,实现请求分发、故障转移高可用性
nginx1.26.2版本docker镜像
11-17
版本 1.26.2 是 Nginx 在 2023 年发布的新版本,它通常包含对各种协议的改进、性能优化以及安全问题的修复。 Docker 是一个开源的应用容器引擎,可以让开发者打包他们的应用以及应用的依赖包到一个可移植的容器中,...
nginx1.16+nginx-upstream-check-module-master+nginx-upload-module
07-24
在IT行业中,Nginx是一款广泛应用的高性能反向代理服务器,因其高效稳定灵活的配置而备受青睐。这里我们关注的是一个包含特定模块的Nginx配置:`nginx1.16`,`nginx-upstream-check-module-master` `nginx-...
nginx配置upstream生效
马以的专栏
01-19 1万+
今天再本地测试项目,新配置了一个nginxupstream,但是生效: 开始配置如下: upstream mServer{ server localhost:6000; server localhost:6001; } server { listen 80; server_name localhost; ...
nginx的next upstream 失效问题
02-15 1393
一个大的nginx集群,后端多个tomcat,其中一台服务器突然死机,导致响应请求,日志如下体现: 504|8.007|223.104.190.73|-|14/Feb/2019:18:08:04 +0800|xxx.cn|POST /v3/phone HTTP/1.1|176|-|504|8.007|192.168.6.32:8080|3.007|- 200|5.001|100.117.125...
Nginx反向代理生效,upstream出现
Gonelin的博客
08-03 1557
upstream的基本语法如下,一个upstream需要设置一个名称,这个名称可以在server里面当作proxy主机使用。一个upstream可以设置多个server,通常情况下Nginx会轮询每一个server,从而达到最基本的负载循环效果。,但是在别的服务器是可以实现的(C域名反代到A),因为在前面有过这个配置`用ng做反代时,A、B两个域名是解析到同一个服务器(ip)的,这里先解释一下upstream。所以后面的域名反代要使用。
nginx的反向代理upstream失败重试策略
atzqtzq的博客
05-16 3953
默认只有被动健康检测 upstream nginxtest{ #默认使用轮询节点分配请求 #max_fails默认=1,fail_timeout默认=10s; server localhost:8080 weight=5 max_fails=2 fail_timeout=5s; server localhost:8082 weight=1 max_fails=2 fail_timeout=5s; } server { listen 18080;
NGINX配置没什么问题了,无法使用upstream负载均衡
azhegps的博客
08-05 4863
这篇文章的前提是已经配置好了NGINX,而且tomcat已经配置好了,而且能能够访问了。 然后使用nginx反向代理 server { listen 80; server_name localhost; #charset koi8-r; #access_log logs/host.access.log mai...
nginx访问域名没有问题,可是无法跳入upstream反向代理
Areadw的博客
01-11 1491
今天昱到一个问题,就是nginx域名访问没有问题,但是proxy_pass 李米娜的地址起作用,在web页面显示404,刚开始我还以为是目标地址区域没有信息,打开看了一下,目标地址确认没有问题,使用ip地址可以访问的到,但是使用域名就可以了初步判断。在最后,打开任务管理器时,跳到nginx处,会发现许多nginx在运行,这个时候结束掉所有,然后重新打开nginx,访问,可以访问得到了.都没什么用,在解决问题的过程中一直使用。类似加上这个就突然解决了的回答。看了网上的许多回答,
关于nginx的失败重试proxy_next_upstream
filtercomp的博客
10-10 1287
nginx的错误重试机制使用避坑
使用DNS+nginx配置HTTPS访问Tomcat服务器
- `server`块是Nginx的虚拟主机配置,其中`listen 443 ssl`表示监听443端口并启用SSL/TLS。 - `ssl on`开启HTTPS支持。 - `ssl_certificate``ssl_certificate_key`分别指定服务器证书私钥的路径,用于验证...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值