프록시 : 오류 AH00898 : 원격 서버와의 SSL 핸드 셰이크 중 오류

16

네트워크에서 cPanel 메일 서버의 프런트 엔드 역할을하는 서버가 있습니다. 프론트 엔드 서버의 아파치 프록시는 152 일 동안 오류없이 실행 된 후 갑자기이를 사용하여 메일 서버의 웹 메일 클라이언트에 액세스 할 때 500/502 오류가 발생합니다.

프런트 엔드 서버는 서명 된 SSL 인증서를 사용하고 cPanel 서버는 자체 서명 된 인증서를 사용합니다. 프런트 엔드 서버에서 처음 발생했을 때 출력되는 오류 로그는 다음과 같습니다.

[Tue Sep 10 18:22:52.959291 2013] [proxy:error] [pid 19531] (502)Unknown error 502: [client 173.xx.xx.xx:9558] AH01084: pass request body failed to 184.xx.xx.xx:2096 (184.xx.xx.xx), referer: https://domain.com:2096/cpsess12385596/3rdparty/roundcube/?_task=mail&_refresh=1&_mbox=INBOX

[Tue Sep 10 18:22:52.959469 2013] [proxy:error] [pid 19531] [client 173.xx.xx.xx:9558] AH00898: Error during SSL Handshake with remote server returned by /cpsess12385596/3rdparty/roundcube/, referer: https://domain.com:2096/cpsess12385596/3rdparty/roundcube/?_task=mail&_refresh=1&_mbox=INBOX

프런트 엔드 서버는 Apache/2.4.6 (Amazon) 이 서버에서 프록시에 대한 My VirtualHost 설정을 실행하는 EC2 인스턴스 는 다음과 같습니다.

< VirtualHost *:2096> ServerName domain.com

SSLEngine on
SSLProxyEngine on
SSLProxyVerify none
SSLProxyCheckPeerCN off

SSLCertificateFile /x/x/x/domain.com.crt
SSLCertificateKeyFile /x/x/x/domain.com.key
SSLCACertificateFile /x/x/x/domain.com.cabundle

ProxyPass / https://184.xx.xx.xx:2096/
ProxyPassReverse / https://184.xx.xx.xx:2096/
ProxyPassReverseCookieDomain 184.xx.xx.xx:2096 domain.com
ProxyPassReverseCookiePath / /

SetOutputFilter INFLATE;proxy-html;DEFLATE
ProxyHTMLURLMap https://184.xx.xx.xx:2096 /

< /VirtualHost>

프론트 엔드 서버에서 아무것도 변경되지 않았다고 생각하는 한,이 문제를 인식하고 성공하지 못한 채 업데이트를하지 않으면 두 서버에서 다시 시작하려고 시도했지만이 문제를 해결하지 못했습니다.

어떤 제안?

apache-2.2  amazon-ec2  ssl  reverse-proxy 
디 페이지
소스

답변:

32

서버 버전과 동일한 문제가 발생했습니다 : Apache / 2.4.6

[1]의 문서에 따라 " 2.4.5 이상에서 SSLProxyCheckPeerCN이 SSLProxyCheckPeerName으로 대체되었으며 SSLProxyCheckPeerName off가 동시에 지정된 경우에만 설정이 적용됩니다 ."

따라서 다음 항목을 추가하면 트릭이 발생했습니다.

SSLProxyCheckPeerName 해제

그래서 내 작업 설정은 다음과 같습니다 ...

    ProxyRequests Off

    SSLEngine On
    SSLProxyEngine On
    SSLProxyVerify none
    SSLProxyCheckPeerCN off
    SSLProxyCheckPeerName off

    SSLCertificateFile /x/x/keys/server.crt
    SSLCertificateKeyFile /x/x/keys/server.key

[1] http://httpd.apache.org/docs/2.4/mod/mod_ssl.html

파비 트라 마두 랑이
소스
1
"SSLEngine On"은 구성의 프록시 부분과 관련이 없지만 프록시 요청이 프록시 구성 옵션과 함께 그룹화되어 있어도 SSL / TLS를 통해이 요청을 처리하는 것과 관련 이 있습니다.
Perseids
14

백엔드 서버가 오래된 자체 서명 인증서를 사용하는 경우 하나 이상의 옵션이 필요합니다 (백엔드 서버에 액세스 할 수없는 경우).

SSLProxyCheckPeerExpire off
밀란 케르 슬라 거
소스
이것은 아파치 2.2에서 2.4로 리버스 프록시를 마이그레이션하는 데
효과적이었습니다.
당사 사이트를 사용함과 동시에 당사의 쿠키 정책개인정보 보호정책을 읽고 이해하였음을 인정하는 것으로 간주합니다.
Licensed under cc by-sa 3.0 with attribution required.