nginx代理转发443

Question

我在端口80上运行了一个反向代理，作为一个“网关”来更新--让我们在我的网络中加密VM上的证书。出于这个原因，此反向代理在端口80上每周只公开5分钟。我有许多域通过这个服务器被转发到它们的内部IP地址。这一切都很好，但是有一个服务器暴露在443端口上的互联网。当我使用https请求正确的域名时，一切都很好。当我使用其他域之一时，我当然会得到一个无效的证书错误。这就是我考虑通过反向代理路由端口443流量的原因，这样我就能够阻止通信量，而不是限制在443上公开和运行的一个域。然而，Nginx需要一个有效的证书，因为它位于另一个服务器上，所以我不能给它。

我在端口443上运行的服务器是Kerio Mailserver。也许我可以在那里做些什么来强制使用一个域名？

有办法处理这个问题吗？万一你想知道:其他服务器不需要公开。

Answer 1

我将其修复如下:我首先在我的Kerio上安装了nginx，并配置了一个反向代理路由端口443到444 ( Kerio现在居住的地方)。接下来，我在VM上创建了一个通配符SSL证书，我在两个主机上使用了这个证书，一个用于webmail和Kerio作为一个整体，一个用于重定向指向我的公共IP的所有其他域名，而没有收到证书错误。

现在我要知道的就是如何真正解决504网关超时问题，而不仅仅是增加一个巨大的超时限制。并希望certbot在没有问题的情况下继续使用DNS挑战。

现在该睡觉了。

Answer 2

我看不出为什么您不能通过NGINX代理HTTP和HTTPS流量。所以你可以：

• 保存和更新NGINX主机上的所有证书，
• 通过HTTP代理请求到VM。如果我正确理解它们都在同一个物理主机上，那么明文通信只能通过虚拟网络接口，
• 始终打开NGINX上的HTTP端口，并使用它来更新证书和(HTTP)将普通通信重定向到HTTPS端口。

编辑:如果您还想加密NGINX和VM之间的通信，或者，正如您在评论中指出的那样，您不希望将NGINX用于来自本地网络的连接，则可以对内部服务器使用本地证书颁发机构。

从您的角度来看，这要安全得多，因为本地CA比外部权限更值得信任。您只需将其添加到本地网络中的所有计算机中，就可以发出长期证书，而无需每60天更新一次。