Это мой первый вопрос, поэтому, пожалуйста, не беспокойтесь!
Я пытаюсь настроить прокси-сервер Nginx для автоматического создания сертификатов SSL с использованием OpenResty / Lua и LetsEncrypt на многопользовательской платформе SAAS.
Прокси-сервер работает, сертификаты выдаются нормально. Конфигурация Nginx (через OpenResty) передает запросы моему AWS Elastic (Classic) Load Balancer.
Проблема в том, что экземпляры, стоящие за моим ELB, похоже, не получают протокол HTTPS, поэтому все ссылки в навигации по моим веб-сайтам и т. Д. Являются HTTP, а не HTTPS.
Например, загрузка https: //www.domain.com работает, но при нажатии на ссылку в навигации отображается http: //www.domain.com/page.html
Вот моя конфигурация OpenResty / nginx на прокси:
http {
lua_shared_dict auto_ssl 1m;
lua_shared_dict auto_ssl_settings 64k;
resolver 8.8.8.8 ipv6=off;
init_by_lua_block {
auto_ssl = (require "resty.auto-ssl").new()
auto_ssl:set("allow_domain", function(domain)
return true
end)
auto_ssl:init()
}
init_worker_by_lua_block {
auto_ssl:init_worker()
}
server {
listen 443 ssl;
location / {
proxy_pass http://AWS-ELB-URL-HERE;
proxy_set_header Host $http_host;
proxy_set_header X-Real-IP $remote_addr;
proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
proxy_set_header X-Forwarded-Proto $scheme;
}
ssl_certificate_by_lua_block {
auto_ssl:ssl_certificate()
}
ssl_certificate /etc/ssl/resty-auto-ssl-fallback.crt;
ssl_certificate_key /etc/ssl/resty-auto-ssl-fallback.key;
}
server {
listen 80;
location /.well-known/acme-challenge/ {
content_by_lua_block {
auto_ssl:challenge_server()
}
}
}
server {
listen 127.0.0.1:8999;
client_body_buffer_size 128k;
client_max_body_size 128k;
location / {
content_by_lua_block {
auto_ssl:hook_server()
}
}
}
}
В попытке определить, связана ли проблема с моим приложением Rails, я изменил конфигурацию Nginx, указав прямо на IP-адрес экземпляра, а не на ELB. При этом все ссылки https(!), чего я и хочу!
Итак, на данный момент я считаю, что проблема либо а) моя конфигурация Nginx не передает протокол должным образом, либо б) мой ELB не передает протокол в серверный экземпляр.
Я как бы склонен думать, что виновником является ELB, поскольку все работает, как ожидалось, при прямом указании прокси-сервера на IP-адрес экземпляра.
Итак, я начал изучать конфигурацию ELB и слушателей, но пока не смог найти работающую конфигурацию. Вот что у меня есть сейчас:
Я также попытался изменить его на:
Протокол балансировки нагрузки: HTTPS (безопасный HTTP), порт балансировщика нагрузки: 443, протокол экземпляра: HTTP, порт экземпляра: 80
Но это тоже не сработало, и ссылки по-прежнему HTTP.
Сейчас я просто догадываюсь, что мне делать со слушателями и портами, пробуя любую конфигурацию, чтобы увидеть, работает она или нет. Пока ничего.
Есть ли у кого-нибудь представление о том, в чем может быть проблема и как ее исправить? TIA!
ок, разобрался! Я только что добавил в блок SSL дополнительную директиву:
proxy_set_header X-Forwarded-Ssl on;
После перезапуска nginx все запросы теперь передаются как https на мой ELB и серверы приложений за ним!
Кроме того, для моих слушателей ELB я удалил слушатель SSL (Secure TCP) и добавил:
Протокол LB: HTTPS (безопасный HTTP), порт LB: 443, протокол экземпляра: HTTP, порт экземпляра: 80