查看了一下nginx的log,发现输出了SSL_do_handshake() failed (SSL: error:14094410:SSL routines:ssl3_read_bytes:sslv3 alert handshake failure:SSL alert number 40) while SSL handshaking to upstream。也就是ssl握手错误。 解决办法:nginx反代时启动SNI以避免反代CF时出现问题。在反向代理块增加一行proxy_ssl_...
故障发散-从一个Nginx502问题来复习一下SNI 现象: 某日某服务通过代理访问某公网地址:xxx-test.hhfx.cn,出现502 的情况,但直接访问该网站可以正常完成请求,查看502报错时间段的日志,出现了SSL_do_handshake() failed (SSL: error:14077410:SSL routines:SSL23_GET_SERVER_HELLO:sslv1 alert handshake failure的报...
在nginx 1.7中,可以使用这个指令: proxy_ssl_server_name on; 迫使nginx使用SNI proxy_ssl_protocols TLSv1 TLSv1.1 TLSv1.2; #请按照这个协议配置 ssl_protocols TLSv1 TLSv1.1TLSv1.2; #请按照这个套件配置,配置加密套件,写法遵循 openssl 标准。 ssl_ciphers ECDHE-RSA-AES128-GCM-SHA256:HIGH:!aNULL:!
2023/07/07 00:03:56 [error] 29533#29533: *115403747 SSL_do_handshake() failed (SSL: error:14094410:SSL routines:ssl3_read_bytes:sslv3 alert handshake failure:SSL alert number 40) while SSL handshaking to upstream, client: 192.168.73.157, server: localhost, request: "HEAD /modules/abm/_...
2023/07/07 00:03:56 [error] 29533#29533: *115403747 SSL_do_handshake() failed (SSL: error:14094410:SSL routines:ssl3_read_bytes:sslv3 alert handshake failure:SSL alert number 40) while SSL handshaking to upstream, client: 192.168.73.157, server: localhost, request: "HEAD /modules/abm/...
SSL_do_handshake()failed(SSL:error:14094438:SSLroutines:ssl3_read_bytes:tlsv1 alert internalerror:SSL alert number 80)while SSL handshaking to upstream,client:127.0.0.1 很明显握手失败了,第一个想到了检查opnssl版本,及测试后端代理域名ssl连接是否正常 ...
在ngx_ssl_handshake函数里面会发起异步的ssl握手操作,这里略过。 4.3 处理sni回调 在握手期间,ssl底层逻辑会解析ClientHello数据报文,发现有sni数据后,就回调前面设置好的ngx_http_ssl_servername函数了。下面来分析一下ngx_http_ssl_servername函数的实现: ...
Failed SSL/TLS handshake to IdP Indicated by error log messages includingpeer closed connection in SSL handshake (104: Connection reset by peer) while SSL handshaking to upstream. This can occur when the IdP requires Server Name Indication (SNI) information as part of the TLS handshake. Additiona...
Ingress-Nginx默认支持TLS V1.2及V1.3版本,对于部分旧版本的浏览器,或者移动客户端TLS版本低于1.2时,会导致客户端在与Ingress-Nginx服务SSL版本协商时报错。 修改kube-system/nginx-configuration configmap添加以下配置,以启用Ingress-Nginx对更多TLS版本的支持。具体操作,请参见TLS/HTTPS。
Ingress-Nginx默认支持TLS V1.2及V1.3版本,对于部分旧版本的浏览器,或者移动客户端TLS版本低于1.2时,会导致客户端在与Ingress-Nginx服务SSL版本协商时报错。 修改kube-system/nginx-configuration configmap添加以下配置,以启用Ingress-Nginx对更多TLS版本的支持。具体操作,请参见TLS/HTTPS。