NGINX 求助 禁止访问 https://ip 后，前端机器 proxy 502

看 errorlog

前端反代 443 时向后端也是 443 访问吗？那目测直接握手拒绝了，建立连接时没有带 SNI 信息吧？

@Judoon 是的，直接反代 403

proxy_cache off;
proxy_redirect off;
proxy_http_version 1.1;
proxy_set_header Upgrade $http_upgrade;
proxy_set_header Connection "upgrade";
proxy_set_header Host $host;
proxy_set_header Referer $http_referer;
proxy_set_header X-Real-IP $remote_addr;
proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
proxy_set_header X-Forwarded-Proto $scheme;
proxy_set_header X-Forwarded-Host $host;
proxy_set_header X-Forwarded-Port $server_port;

@Judoon 是的，直接反代 443

你的 proxy_pass 呢
配上 sni

https://gist.github.com/shijij/54c9b21f26c08a15a70c182f03cb15b4

将 80,443 配置成两个 server 块。443 类似你原来的配置。

ssl_reject_handshake on; 没用过这参数，可是看字面意思返回 502 难道不是正常反应吗

5 楼正解
非常谢谢 @Judoon

@angryfish
@cnrting

ssl_reject_handshake on;这个参数是没有绑定域名的访问拒绝握手。前端需要向后端发送 SNI 信息

添加以下两行解决
proxy_ssl_server_name on;
proxy_ssl_name $host;

@ab 如果有多个 location 块的话 是需要每个都添加么 还是单 /这个块添加

@Silently 我看说明是可以直接添加到 server 块上

我是加在 server 段，只用来禁用非绑定的域名

@Silently #10

@ab 用上了 谢谢

多谢，mark 一记，之前也遇到了类似问题