关于nginx反向代理求教
本帖最后由 脸宽 于 2025-3-15 20:53 编辑前段时期用云服务器,搭建了freshrss,alist,webdav,手上刚好有个域名于是又琢磨用nginx反代理,https网页或者ip+端口访问都没问题。
用fresrss的api就会显示连接不上,alist,webdav这种也同理,网页都能正常个观看,但就是不能通过三方软件连接。
用了1panel面板的openresty,第一张是openresty的文件,第二张是网站设置的文件,第三张反代理那里的配置文件。证书是阿里云申请的,实在搞不懂是哪出问题了。
更新
可能还是证书出问题,2025/03/14 17:44:43 21#21: *35 cannot load certificate "data:": PEM_read_bio_X509_AUX() failed (SSL: error:0909006C:PEM routines:get_name:no start line:Expecting: TRUSTED CERTIFICATE) while SSL handshaking, client: 185.12.59.118, server: 0.0.0.0:443。
解决了,结贴,谢谢各位
alist webdav这种是不是要用stream? 可能是Web socket没配置
具体情况还是查Nginx的log
我alist是这样的,第三方软件正常
location ^~/alist/ {
proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
proxy_set_header X-Forwarded-Proto $scheme;
proxy_set_header Host $http_host;
proxy_set_header X-Real-IP $remote_addr;
proxy_set_header Range $http_if_range;
proxy_set_header If-Range $http_if_range;
proxy_redirect off;
proxy_pass http://127.0.0.1:5244/alist/;
client_max_body_size 10240m;
break;
}
论坛助手,iPhone /etc/hosts加本地域名解析 具体信息太少了 https证书搞定了吗
别是浏览器加了自签名证书的吧 服务器配置怎样啊,不太弱鸡的话装个1panel吧,再也不用纠结如何写配置这种问题了 没有conf文件,哪知道问题在哪。
或者自己在conf中配置个access log配置, 然后看log,有没有头绪咯 主楼更新了下,麻烦大佬看看 1panel直接在左侧列表里选 网站 - 网站 - 创建 - 反向代理,创建好了点到那个域名去开SSL选证书就好了
https://s2.loli.net/2025/03/14/yM8U3bH1ZSBXhgT.png john 发表于 2025-3-14 18:53
1panel直接在左侧列表里选 网站 - 网站 - 创建 - 反向代理,创建好了点到那个域名去开SSL选证书就好了
...
是这么操作的,https 网页是能正常打开的,没问题的,就是连接到第三方软件就报错
—— 来自 鹅球 v3.3.96 脸宽 发表于 2025-3-14 19:01
是这么操作的,https 网页是能正常打开的,没问题的,就是连接到第三方软件就报错
—— 来自 鹅球 v3.3. ...
你的https网页真的正常吗,别一看浏览器的小锁上面有警告标记
如果有证书但证书存在问题的话,浏览器一开始会跳警告需要你确认,确认以后的表现根据浏览器有所不同
edge:https标记划红线
firefox:安全连接的锁头上有警告标记
safari:没有异常显示
如果是公网服务器 你还不如把网址贴出来 要不这赛博问诊也没辙啊
—— 来自 鹅球 v3.3.96-alpha 紧那罗 发表于 2025-3-14 19:17
如果是公网服务器 你还不如把网址贴出来 要不这赛博问诊也没辙啊
—— 来自 鹅球 v3.3.96-alpha ...
好的好的,已经放上了。 john 发表于 2025-3-14 19:05
你的https网页真的正常吗,别一看浏览器的小锁上面有警告标记
如果有证书但证书存在问题的话,浏览器一开 ...
没有小红锁,主楼也更新了alist的地址 脸宽 发表于 2025-3-14 19:42
没有小红锁,主楼也更新了alist的地址
……台式机打开一次上,手机不管用家里网还是移动网都刷N次才能开,你这网页什么情况
你自己建个其他的网站然后反向代理,也是这样吗 我本来猜是不是证书链的问题 结果还跑不到验证证书的环节
https://whatsmychaincert.com/?alist.071211.xyz
在外面吃饭 回头看看具体啥问题 john 发表于 2025-3-14 20:01
……台式机打开一次上,手机不管用家里网还是移动网都刷N次才能开,你这网页什么情况
你自己建个其他的 ...
我的网络倒没出现问题,访问速度倒还行 紧那罗 发表于 2025-3-14 20:12
我本来猜是不是证书链的问题 结果还跑不到验证证书的环节
https://whatsmychaincert.com/?alist.071211.xyz ...
好的,谢谢 本帖最后由 char1st 于 2025-3-14 22:35 编辑
curl -v--tlsv1.1https://alist.071211.xyz
* About to connect() to alist.071211.xyz port 443 (#0)
* Trying 59.110.234.33...
* Connected to alist.071211.xyz (59.110.234.33) port 443 (#0)
* Initializing NSS with certpath: sql:/etc/pki/nssdb
* CAfile: /etc/pki/tls/certs/ca-bundle.crt
CApath: none
* NSS error -12286 (SSL_ERROR_NO_CYPHER_OVERLAP)
* Cannot communicate securely with peer: no common encryption algorithm(s).
* Closing connection 0
tlsv1.0也被rst了
tlsv1.2 tlsv1.3可以
从楼上的测试情况来看,我觉得可能是因为你配置的ssl_cipher不支持tls1.0 1.1,也就是顶楼第二张图17?行的内容(没截全,后面不知道写的啥,前面这几个算法是只在tls1.2以上才支持
可以尝试去掉这行配置
紧那罗 发表于 2025-3-14 23:37
从楼上的测试情况来看,我觉得可能是因为你配置的ssl_cipher不支持tls1.0 1.1,也就是顶楼第二张图17?行的 ...
好像不行,绷不住了,我甚至换了个域名,用别家申请 ssl 都不成,感觉不是证书的问题,可能还是配置文件的问题,明天我在上网看看
—— 来自 鹅球 v3.3.96 楼主你有申请到证书?有的话可以查得到的
https://crt.sh/?q=071211.xyz
比如说本坛的记录
https://crt.sh/?q=saraba1st.com =w= 发表于 2025-3-15 01:54
楼主你有申请到证书?有的话可以查得到的
https://crt.sh/?q=071211.xyz
访问他的网站显示是DigiCert Inc的证书 ❯ openssl s_client -servername alist.071211.xyz -connect alist.071211.xyz:443 -prexit
CONNECTED(00000003)
write:errno=104
---
no peer certificate available
---
No client certificate CA names sent
---
SSL handshake has read 0 bytes and written 318 bytes
Verification: OK
---
New, (NONE), Cipher is (NONE)
Secure Renegotiation IS NOT supported
Compression: NONE
Expansion: NONE
No ALPN negotiated
Early data was not sent
Verify return code: 0 (ok)
---
---
no peer certificate available
---
No client certificate CA names sent
---
SSL handshake has read 0 bytes and written 318 bytes
Verification: OK
---
New, (NONE), Cipher is (NONE)
Secure Renegotiation IS NOT supported
Compression: NONE
Expansion: NONE
No ALPN negotiated
Early data was not sent
Verify return code: 0 (ok)
---
❯ nmap -sV --script=ssl-enum-ciphers -p 443 alist.071211.xyz
Starting Nmap 7.94SVN ( https://nmap.org ) at 2025-03-14 22:56 EDT
Nmap scan report for alist.071211.xyz (59.110.234.33)
Host is up (0.26s latency).
PORT STATE SERVICE VERSION
443/tcp openssl/https openresty
| http-server-header:
| Beaver
|_openresty
Service detection performed. Please report any incorrect results at https://nmap.org/submit/ .
Nmap done: 1 IP address (1 host up) scanned in 14.85 seconds
我怎么感觉你是不是有啥配置,在某些条件下根本不握手啊
本帖最后由 YoumuChan 于 2025-3-15 11:28 编辑
草,破案了
❯ nc alist.071211.xyz 443
GET /@login HTTP/1.1
Host: alist.071211.xyz
User-Agent: Mozilla/5.0 (Macintosh; U; Intel Mac OS X 10.6; fr; rv:1.9.2.8) Gecko/20100722 Firefox/3.6.8
Accept: */*
HTTP/1.1 302 Moved Temporarily
Server: openresty
Date: Sat, 15 Mar 2025 03:17:11 GMT
Content-Type: text/html
Content-Length: 142
Connection: close
Location: https://alist.071211.xyz/@login
Strict-Transport-Security: max-age=31536000
<html>
<head><title>302 Found</title></head>
<body>
<center><h1>302 Found</h1></center>
<hr><center>openresty</center>
</body>
</html>
您这443背后他就不是一个ssl服务器,背后是一个http服务器。
建议把`if ($scheme)`那段去掉,把80的http单拉一个server {}试一下
john 发表于 2025-3-15 09:49
访问他的网站显示是DigiCert Inc的证书
换了好几个浏览器,我可总算是把楼主的网站打开了,也看到是 digicert 的证书
但是很快就打不开了,我怀疑是这个域名已经被重点照顾了,机子在国内然后域名没备案? =w= 发表于 2025-3-15 14:24
换了好几个浏览器,我可总算是把楼主的网站打开了,也看到是 digicert 的证书
但是很快就打不开了,我怀 ...
可能是因为我在重建,确实都是机子和域名阿里云的,这个还需要备案吗 不折腾了,谢谢各位 等等,阿里云的没告诉**内域名要备案嘛,尤其是 8 位数字 xyz 的反诈重点域名 居然还有国内用主机不备案这么野的
你这样还不如买外国主机,我Linode的外国主机配国际顶级域名十几年了好好的 john 发表于 2025-3-15 19:02
居然还有国内用主机不备案这么野的
你这样还不如买外国主机,我Linode的外国主机配国际顶级域名十几年了好 ...
解决了,估计就是域名的问题,在aws上搭建了一个,然后用阿里云的.top域名解析到cf上。
没想到国内搞这么严 本帖最后由 =w= 于 2025-3-15 21:20 编辑
脸宽 发表于 2025-3-15 20:53
解决了,估计就是域名的问题,在aws上搭建了一个,然后用阿里云的.top域名解析到cf上。
没想到国内搞这么 ...
你还是换个域名商吧,把域名转入到 cf 或者直接在 cf 买也行
免得以后有事情就三天两头打电话给你,结果就只是一些鸡毛蒜皮的小事
补充:还是换个没在国内域名商托管过的域名比较好,托管过就有记录了,哪怕你转出去了,就算域名已经不再是你的了,也可能找你 本帖最后由 脸宽 于 2025-3-15 21:59 编辑
=w= 发表于 2025-3-15 21:18
你还是换个域名商吧,把域名转入到 cf 或者直接在 cf 买也行
免得以后有事情就三天两头打电话给你,结果就 ...
我现在是日本的aws,感觉延迟上还是比国内环境配置的高,有什么办法解决吗
还行,感觉可以接受,当初没买国外的主要是手上的这个38买的,还算比较便宜。
脸宽 发表于 2025-3-15 21:53
我现在是日本的aws,感觉延迟上还是比国内环境配置的高,有什么办法解决吗 ...
加钱换服务商,上三网优化线路 =w= 发表于 2025-3-15 21:58
加钱换服务商,上三网优化线路
之前在网上看三网优化服务器不知道是啥,现在知道了,没事够用了。
页:
[1]