Как в nginx перенаправить ssl порт на другой?

Question

[paralolik]

У меня есть nextcloud сервер в docker-контейнере со своим обратным прокси, я настроил его так, чтобы он слушал 91 и 544(ssl) порт, как мне настроить конфиг nginx так, чтобы при обращении на https://nextcloud.domain.com по 433 порту он перенаправлял этот ssl трафик на 544 порт и использовал сертификат 544 порта?

С обычным http трафиком мне понятно, что proxy_pass надо использовать, но я не могу понять как такое провернуть с ssl трафиком, сертификаты я не могу достать из proxy-контейнера nextcloud'а

получилось что-то типа этого, но оно не работает

server {
        listen 80;
        server_name nextcloud.domain;

        return 301 https://$server_name$request_uri;
}
server {
        listen 443 ssl;
        server_name nextcloud.domain;

        location / {
                proxy_pass https://10.10.10.10:544;
        }
}

Answer 1

[Виктор Таран]

Вы все правильно сделали все что вам нужно выдать новые или старые сертификаты проксирующему серверу
если вы выдадите самоподписанные и подпишите име то все будет работать
бэк будет работать со своими фронт со своими, конфликта не будет
Мало того если на фронте вы используете LetsEncrypt сертификаты то домен будет так же доверительным вне зависимости от бэка который может быть вообще на 80, но я бы так не рекомендовал.

Если у вас доверительный сертификат на бэке и вы хотите чтоб внешка была на нем-же то без вариантов вам нужно будет подтягивать сертификаты, это сделать достаточно легко, есть множество способов.
НО насколко я вижу у вас тут просто IP соответственно LE сертификат уже не пойдет.
А вот если бы вы сделали nextcloud .site.ru домен то можно было бы на него уже получить сертификат ( думаю сайт то у вас есть ?)
В таком случае сертификат получаете на фронте и проксируете куда хотите.

Comments

[paralolik]

У меня сертификат генерируется и автопродляется сам в отдельном докер образе, который соединен с контейнером nginx, который тоже в докере.

По итогу, как я понял, мне придется перенастраивать тот контейнер с letsencrypt, чтобы локальный nginx мог увидеть его сертификаты и настроить перенаправление портов в nginx который в докере, используя эти сертификаты. и получится цепочка nginx(локальный)(ssl от le) -> nginx(docker)(ssl от le) -> service(docker) и все будут работать по одному и тому же ssl сертификату и по идее все должно автопродляться в такой конфигурации

[Виктор Таран]

paralolik, а кто вам мешает подключить просто общее место хранение сертификатов? а в конфигах держать симлинки

Answer 2

[ky0]

Так же, как и с HTTP. Для прокси-пасса нгинксу всё равно, какой там сертификат и порт, просто схему https укажите, и всё.

Comments

[paralolik]

server {
        listen 80;
        server_name nextcloud.domain;

        return 301 https://$server_name$request_uri;
}
server {
        listen 443 ssl;
        server_name nextcloud.domain;

        location / {
                proxy_pass https://10.10.10.10:544;
        }
}

Вот мой кусок конфига nginx'а и он выдает Secure Connection Failed, что ту тне так? сертификаты я не могу получить, они уже на 544 порту настроены

[Иван Шумов]

paralolik, придётся ставить сертификаты на порт по умолчанию в любом случае) иначе просто первичное соединение нельзя будет установить. Кроме того https ставится на домен, а не ip или порт

[ky0]

paralolik, а, у вас снаружи SSL не настроен? Тогда проксирование не подойдёт, нужно либо просто форвардить пакеты (это делается не нгинксом, а, например, iptables), либо терминировать HTTPS на "внешнем" нгинксе.