При редиректе с HTTP на HTTPS возникает ошибка, в чем дело??

Question

obvilion @obvilion

Nginx

При редиректе с HTTP на HTTPS возникает ошибка, в чем дело??

Добрый вечер.
Столкнулся с проблемой: надо сделать редирект с http на https, сделал следующим методом:

listen 80;
server_name *.universal-chat.net;
return 301 $server_name$request_uri;

Имеется домен universal-chat.net и api.universal-chat.net
Редирект с universal-chat.net на https://universal-chat.net проходит нормально.
А редирект api.universal-chat.net на https://api.universal-chat.net происходит с костылями.
Результат редиректа: api.universal-chat.net/api.universal-chat.net/api....
В чем может быть дело?
Весь конфиг:

user www-data;
worker_processes 4;

error_log /var/log/nginx/error.log warn;
pid /var/run/nginx.pid;

worker_rlimit_nofile 150000;

events {
    worker_connections 8000;
    multi_accept on;
    use epoll;
}

http {
    include /etc/nginx/mime.types;
    default_type application/octet-stream;

    log_format main '$remote_addr — $remote_user [$time_local] "$request" '
        '$status $body_bytes_sent "$http_referer" '
        '"$http_user_agent" "$http_x_forwarded_for"';

    access_log /var/log/nginx/access.log main;

    gzip off;
    sendfile on;
    tcp_nopush on;
    tcp_nodelay on;
    reset_timedout_connection on;
    client_body_buffer_size 128k;

    server {
        listen 80;
        server_name 127.0.0.1;
        root /var/www/html;
        index index.html index.php;

        location ~* \.php$ {
            try_files $uri = 404;
            fastcgi_split_path_info ^(.+\.php)(/.+)$;
            fastcgi_pass unix:/var/run/php/php7.0-fpm.sock;
            fastcgi_send_timeout 180s;
            fastcgi_read_timeout 180s;
            fastcgi_index index.php;
            fastcgi_param SCRIPT_FILENAME $document_root$fastcgi_script_name;
            include fastcgi_params;
        }
    }
    server {
        listen 80;
        server_name universal-chat.net *.universal-chat.net;
        return 301 https://$host$request_uri;
    }
    server {
        listen 443 ssl;
        server_name universal-chat.net www.universal-chat.net;
        root /var/www/html/universal_chat;
        index index.html index.php;

        ssl_protocols TLSv1.1 TLSv1.2;
        ssl_certificate "/etc/letsencrypt/live/universal-chat.net/cert.pem";
        ssl_certificate_key "/etc/letsencrypt/live/universal-chat.net/privkey.pem";

        location ~* \.php$ {
            try_files $uri = 404;
            fastcgi_split_path_info ^(.+\.php)(/.+)$;
            fastcgi_pass unix:/var/run/php/php7.1-fpm.sock;
            fastcgi_send_timeout 180s;
            fastcgi_read_timeout 180s;
            fastcgi_index index.php;
            fastcgi_param SCRIPT_FILENAME $document_root$fastcgi_script_name;
            include fastcgi_params;
        }
        location /api/ {
            deny all;
        }
    }
    server {
        listen 443 ssl;
        server_name api.universal-chat.net;
        root /var/www/html/universal_chat/api;
        index index.php;

        ssl_protocols TLSv1.1 TLSv1.2;
        ssl_certificate "/etc/letsencrypt/live/api.universal-chat.net/cert.pem";
        ssl_certificate_key "/etc/letsencrypt/live/api.universal-chat.net/privkey.pem";

        location ~* \.php$ {
            try_files $uri = 404;
            fastcgi_split_path_info ^(.+\.php)(/.+)$;
            fastcgi_pass unix:/var/run/php/php7.1-fpm.sock;
            fastcgi_send_timeout 180s;
            fastcgi_read_timeout 180s;
            fastcgi_index index.php;
            fastcgi_param SCRIPT_FILENAME $document_root$fastcgi_script_name;
            include fastcgi_params;
        }
        location ~* ^(methods|includes) {
            deny all;
        }
    }
}

Вопрос задан более трёх лет назад
352 просмотра

Комментировать

Подписаться 1 Средний Комментировать

Решения вопроса 1

7 комментариев

obvilion @obvilion Автор вопроса

Большое спасибо, заработало.
Это дефолтная настройка nginx, ибо я только его установил, а бустить уже хотел в дальнейшем)

Написано более трёх лет назад

Михаил Григорьев @Sleuthhound

obvilion, обратите внимание, что при настройке

server {
        listen 443 ssl;
        server_name universal-chat.net www.universal-chat.net;
        ...
}

у Вас будет открываться https://universal-chat.net и https://www.universal-chat.net , что не очень хорошо

Если Вы хотите сделать редирект с https://www.universal-chat.net на https://universal-chat.net, то следует изменить конфиг к виду:

server {
        listen 443 http2 ssl;
        server_name www.universal-chat.net;
        ssl_protocols TLSv1.1 TLSv1.2;
        ssl_certificate "/etc/letsencrypt/live/api.universal-chat.net/cert.pem";
        ssl_certificate_key "/etc/letsencrypt/live/api.universal-chat.net/privkey.pem";
        return 301 https://universal-chat.net$request_uri;
}
server {
        listen 443 http2 ssl;
        server_name universal-chat.net;
        ssl_protocols TLSv1.1 TLSv1.2;
        ssl_certificate "/etc/letsencrypt/live/api.universal-chat.net/cert.pem";
        ssl_certificate_key "/etc/letsencrypt/live/api.universal-chat.net/privkey.pem";
        ...
}

Так же обращаю Ваше внимание, что в текущей Вашей конфигурации https настроено некорректно, необходимо добавить:

...
        ssl_session_cache shared:UNISSL:10m;
        ssl_session_timeout 10m;
        ssl_prefer_server_ciphers on;
        ssl_session_tickets off;
        ssl_ciphers 'ECDHE-ECDSA-CHACHA20-POLY1305:ECDHE-RSA-CHACHA20-POLY1305:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES128-SHA256:ECDHE-RSA-AES128-SHA256:ECDHE-ECDSA-AES128-SHA:ECDHE-RSA-AES256-SHA384:ECDHE-RSA-AES128-SHA:ECDHE-ECDSA-AES256-SHA384:ECDHE-ECDSA-AES256-SHA:ECDHE-RSA-AES256-SHA:DHE-RSA-AES128-SHA256:DHE-RSA-AES128-SHA:DHE-RSA-AES256-SHA256:DHE-RSA-AES256-SHA:ECDHE-ECDSA-DES-CBC3-SHA:ECDHE-RSA-DES-CBC3-SHA:EDH-RSA-DES-CBC3-SHA:AES128-GCM-SHA256:AES256-GCM-SHA384:AES128-SHA256:AES256-SHA256:AES128-SHA:AES256-SHA:DES-CBC3-SHA:!DSS';

        resolver 8.8.8.8 8.8.4.4 valid=300s;
        resolver_timeout 5s;
        ssl_stapling on;
        ssl_stapling_verify on;
        ssl_trusted_certificate /etc/nginx/ssl/letsencrypt-ca.pem;
        ssl_stapling_responder http://ocsp.int-x3.letsencrypt.org;

        add_header Strict-Transport-Security "max-age=31536000; includeSubDomains";
        add_header X-Frame-Options SAMEORIGIN;
        add_header X-Content-Type-Options nosniff;
        add_header X-XSS-Protection "1; mode=block";
        ...

В файл /etc/nginx/ssl/letsencrypt-ca.pem необходимо добавить корневой сертификат Letsencrypt.

Написано более трёх лет назад

obvilion @obvilion Автор вопроса

Михаил Григорьев, большое спасибо за информацию.
Но как писал ниже - это пока что дефолтная настройка nginx, полной настройкой пока-что не занимался

Написано более трёх лет назад
obvilion @obvilion Автор вопроса

И да, если стандартное подключение HTTP 1.1, а в порту 443 указан HTTP 2.0, то сбоев не будет?

Написано более трёх лет назад
Михаил Григорьев @Sleuthhound
obvilion, сбоев не будет.
Если у Вас nginx собран с версией openssl < 1.0.2, то у вас не будет поддержки ALPN и http/2 в принципе работать не будет, все будет грузиться по http/1

# nginx -V nginx version: nginx/1.13.6 built by gcc 4.9.2 (Debian 4.9.2-10) built with OpenSSL 1.0.2m 2 Nov 2017 TLS SNI support enabled
Написано более трёх лет назад
obvilion @obvilion Автор вопроса
Михаил Григорьев,
root@universal-chat:~# nginx -V nginx version: nginx/1.13.6 built by gcc 4.9.2 (Debian 4.9.2-10) built with OpenSSL 1.0.1t 3 May 2016 TLS SNI support enabled

Не будет работать.
Еще возник вопрос - как собрать корневой сертификат Let's Encrypt?
Написано более трёх лет назад

Михаил Григорьев @Sleuthhound

obvilion, держите

# cat /etc/nginx/ssl/letsencrypt-ca.pem

а Вообще полный список сертификатов тут
Если из консоли, то
cat /etc/letsencrypt/live/XXXXX/chain.pem
но тут только корневой сертификат Letsencrypt, еще нужен кросс сертификат DST Root CA X3, он тут
Выше я привел все что нужно.

Написано более трёх лет назад

Пригласить эксперта

Ответы на вопрос 2

4 комментария

1 комментарий

Ваш ответ на вопрос

Войдите, чтобы написать ответ

Войти через центр авторизации

Похожие вопросы

Nginx

Простой
Запрос статичной картинки не зная формата?
- 1 подписчик
- 5 часов назад
- 51 просмотр
1

ответ
Nginx

Простой
Как настроить nginx forward proxy?
- 1 подписчик
- 16 апр.
- 95 просмотров
2

ответа
Nginx

Простой
Как не записывать в логи Nginx юзеров с юзер агентом yandex?
- 1 подписчик
- 13 апр.
- 90 просмотров
1

ответ
PHP

+2 ещё

Простой
Почему PHP-скрипт зависает/завершается на паузе (sleep)?
- 1 подписчик
- 11 апр.
- 121 просмотр
2

ответа
Linux

+1 ещё

Простой
Как расчитывать размеры кэшей и буферов в nginx?
- 3 подписчика
- 11 апр.
- 528 просмотров
1

ответ
Сетевое администрирование

+4 ещё

Средний
Ошибка доступности сайта. Проблема с доменами. Как исправить?
- 1 подписчик
- 10 апр.
- 159 просмотров
1

ответ
Nginx

Простой
Убрать слеш в конце домена (nginx). На внутренних страницах работает, site.ru/ нет?
- 1 подписчик
- 10 апр.
- 64 просмотра
0

ответов
Nginx

Простой
Как получать нужные данные в access_log?
- 1 подписчик
- 09 апр.
- 55 просмотров
1

ответ
Nginx

+1 ещё

Простой
Как избежать падения nginx при отсутствии backend, proxy_pass контейнера?
- 1 подписчик
- 09 апр.
- 81 просмотр
1

ответ
Nginx

+1 ещё

Простой
Primary script unknown. Ошибка настройки путей nginx. Почему?
- 1 подписчик
- 07 апр.
- 36 просмотров
1

ответ
Показать ещё Загружается…

Системный администратор

А5000 Event Solutions • Москва

от 100 000 до 150 000 ₽

Прикладной администратор SberApps

Сбер • Москва

от 230 000 ₽

Senior Backend-разработчик (NestJS)

Эволюшн менеджмент

от 200 000 до 300 000 ₽

Разработать телеграмм бота для анонимных сообщений

19 апр. 2024, в 14:53

30000 руб./за проект

Разработать парсер и админку

19 апр. 2024, в 14:12

30000 руб./за проект

Создать логотип

19 апр. 2024, в 14:10

500 руб./за проект

Answer 1 · 2017-11-09 10:45:47

1. Кусок

server {
        listen 80;
        server_name universal-chat.net *.universal-chat.net;
        return 301 https://$host$request_uri;
}

Замените на 2 блока, так будет правильнее и тогда:

server {
        listen 80;
        server_name universal-chat.net www.universal-chat.net;
        return 301 https://universal-chat.net$request_uri;
}
server {
        listen 80;
        server_name api.universal-chat.net;
        return 301 https://api.universal-chat.net$request_uri;
}

Читаем статью для просвещения.

2. Рекомендую поменять еще некоторые дерективы:

worker_processes 4;
на
worker_processes auto;

Добавить
worker_cpu_affinity auto;
worker_shutdown_timeout 30;

30 замените на ваше желаемое число, см офф. документация

Добавить в секцию http директиву:
server_tokens off;

Если у Вас используется
sendfile on;
то разумно выставить
sendfile_max_chunk 128k;
Она ограничивает объём данных, который может передан за один вызов sendfile(). Нужно для исключения ситуации когда одно соединение может целиком захватить воркер.

По желанию добавить в секцию http:
keepalive_timeout 60s;
keepalive_requests 500;
client_body_timeout 30s;
client_max_body_size 256m;
send_timeout 30s;
types_hash_max_size 2048;
server_names_hash_max_size 8192;
server_names_hash_bucket_size 128;

Тестируем редиректы так:

curl -D - -o /dev/null -s http://universal-chat.net

и

curl -D - -o /dev/null -s http://api.universal-chat.net

Answer 2 · 2017-11-08 23:49:57

Lynn «Кофеман» @Lynn

nginx, js, css

Никогда не используйте $server_name. Вам нужен $host. Ну и протокол https в редиректе нужно указывать.

Ответ написан более трёх лет назад

4 комментария

Answer 3 · 2017-11-09 00:29:18

Андрей @VELIK505

Руководитель департамента profitcentr.com

Попробуй поубирать все свои 301 редиректы и $scheme = "http" и пропиши просто:

add_header Strict-Transport-Security "max-age=31536000; includeSubDomains";

Ответ написан более трёх лет назад

1 комментарий

При редиректе с HTTP на HTTPS возникает ошибка, в чем дело??

Войдите, чтобы написать ответ

Минуточку внимания

Войдите на сайт