gpt4 book ai didi

ssl - 带有 Apache2 SNI/主机名错误的 Golang ReverseProxy

转载 作者:IT王子 更新时间:2023-10-29 01:59:08 25 4
gpt4 key购买 nike

我正在用 Go 编写自己的 ReverseProxy。ReverseProxy 应该连接我的 go-web 服务器和我的 apache2 网络服务器。但是当我在另一个 IP 地址上运行我的反向代理然后我的 Apache2 网络服务器时,当反向代理将请求发送到 apache 时,我的 apache 日志文件中出现以下错误。

"Hosname xxxx provided via sni and hostname xxxx2 provided via http are different"

我的反向代理和 apache-webserver 在 https 上运行。

这里是一些代码:

func (p *Proxy) directorApache(req *http.Request) {
mainServer := fmt.Sprintf("%s:%d", Config.HostMain, Config.PortMain)
req.URL.Scheme = "https"
req.URL.Host = mainServer
}

func (p *Proxy) directorGo(req *http.Request) {
goServer := fmt.Sprintf("%s:%d", Config.GoHost, Config.GoPort)
req.URL.Scheme = "http"
req.URL.Host = goServer
}


func (p *Proxy) ServeHTTP(rw http.ResponseWriter, req *http.Request) {
fmt.Println(req.URL.Path)
if p.isGoRequest(req) {
fmt.Println("GO")
p.goProxy.ServeHTTP(rw, req)
return
}
p.httpProxy.ServeHTTP(rw, req)
}
func main() {

var configPath = flag.String("conf", "./configReverse.json", "Path to the Json config file.")

flag.Parse()
proxy := New(*configPath)
cert, err := tls.LoadX509KeyPair(Config.PathCert, Config.PathPrivateKey)
if err != nil {
log.Fatalf("server: loadkeys: %s", err)
}
config := tls.Config{InsecureSkipVerify: true, Certificates: []tls.Certificate{cert}}

listener, err := net.Listen("tcp",
net.JoinHostPort(proxy.Host, strconv.Itoa(proxy.Port)))
if err != nil {
log.Fatalf("server: listen: %s", err)
}
log.Printf("server: listening on %s")
proxy.listener = tls.NewListener(listener, &config)

serverHTTPS := &http.Server{
Handler: proxy.mux,
TLSConfig: &config,
}

if err := serverHTTPS.Serve(proxy.listener); err != nil {
log.Fatal("SERVER ERROR:", err)
}
}

也许有人对这个问题有想法。

最佳答案

简短示例

假设您正在向 https://your-proxy.local 发起 HTTP 请求.您的请求处理程序采用 http.Request构造并重写其 URL字段到 https://your-apache-backend.local .

您没有考虑到的是,原始 HTTP 请求还包含一个 Host header (Host: your-proxy.local)。将相同的请求传递给 http://your-apache-backend.local 时, Host该请求中的 header 仍然显示 Host: your-proxy.local .这就是 Apache 所提示的。

说明

当您将 TLS 与服务器名称指示 (SNI) 结合使用时,请求主机名不仅会用于 DNS 解析,还会用于选择应该用于建立 TLS 连接的 SSL 证书。 HTTP 1.1 Host另一方面,header 被 Apache 用来区分几个虚拟主机。两个名称必须匹配Apache HTTPD wiki 中也提到了这个问题。 :

SNI/Request hostname mismatch, or SNI provides hostname and request doesn't.

This is a browser bug. Apache will reject the request with a 400-type error.

解决方案

同时重写 Host header 。如果你想保留原来的Host header ,您可以将其存储在 X-Forwarded-Host 中 header (这是一个非标准 header ,但它广泛用于反向代理):

func (p *Proxy) directorApache(req *http.Request) {
mainServer := fmt.Sprintf("%s:%d", Config.HostMain, Config.PortMain)
req.URL.Scheme = "https"
req.URL.Host = mainServer
req.Header.Set("X-Forwarded-Host", req.Header().Get("Host"))
req.Host = mainServer
}

关于ssl - 带有 Apache2 SNI/主机名错误的 Golang ReverseProxy,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/34745654/

25 4 0
Copyright 2021 - 2024 cfsdn All Rights Reserved 蜀ICP备2022000587号
广告合作:1813099741@qq.com 6ren.com