私はnginxが同じポートで httpおよびhttpsリクエストを処理できるかどうか疑問に思っていました。[*]

これは私がやろうとしていることです。http要求を処理するWebサーバー（lighttpd）と、httpsを介してドキュメントツリーの特定のセクションを処理するCプログラムを実行しています。これら2つのプロセスは同じサーバーで実行されます。

ファイアウォールレベルでは、このサーバーにトラフィックを転送するポートを1つだけ持つことができます。したがって、私がやりたいのは、このサーバーでnginxを設定して、単一のポートでリクエストをリッスンしてから：

A）すべてのhttp://myhost.com/ *リクエストをリダイレクトして、localhost：8080（lighttpdがリッスンしている場所）に移動します。

B）ユーザーが、https：// myhost.com/appなどで始まるURLを要求した場合、その要求はlocalhost：8008（Cプログラム）に送信されます。この場合、リモートブラウザーとnginx間のトラフィックは暗号化する必要があることに注意してください。

これは可能だと思いますか？もしそうなら、どのようにそれを行うことができますか？

2つの異なるポートを使用してこれを行う方法を知っています。私が直面している課題は、1つのポートだけでこれを行うことです（残念ながら、この特定の環境でファイアウォールの構成を制御することはできません。そのため、回避できない制限です）。sshを介したリバースポートフォワーディングなどの技術を使用してファイアウォールをバイパスすることも機能しません。これは、Webブラウザーとインターネットリンクしかないリモートユーザーに対して機能するはずです。

これがnginxの機能を超えている場合、この要件を満たすことができる他の製品を知っていますか？（これまでのところ、これをlighttpdとpoundで設定することに失敗しました）。また、Apacheを避けることも好みます（ただし、Apacheが唯一の選択肢である場合は使用してもかまいません）。

事前に感謝、アレックス

[*]明確にするために、同じポートを介した暗号化および非暗号化HTTP接続の処理について説明しています。暗号化がSSLまたはTLSのどちらを介して行われるかは関係ありません。

探しているかもしれない人のために：

追加ssl on;およびerror_page 497 $request_uri;サーバー定義へ。

ステータスコードに関するウィキペディアの記事によると、httpトラフィックがhttpsポートに送信されると、Nginxにはカスタムエラーコードがあります（エラーコード497）

また、error_pageのnginxのドキュメントによると、特定のエラーに対して表示されるURIを定義できます。
したがって、エラーコード497が発生したときにクライアントが送信されるURIを作成できます。

nginx.conf

#lets assume your IP address is 89.89.89.89 and also that you want nginx to listen on port 7000 and your app is running on port 3000

server {
    listen 7000 ssl;

    ssl_certificate /path/to/ssl_certificate.cer;
    ssl_certificate_key /path/to/ssl_certificate_key.key;
    ssl_client_certificate /path/to/ssl_client_certificate.cer;

    error_page 497 301 =307 https://89.89.89.89:7000$request_uri;

    location / {
        proxy_pass http://89.89.89.89:3000/;

        proxy_pass_header Server;
        proxy_set_header Host $http_host;
        proxy_redirect off;
        proxy_set_header X-Real-IP $remote_addr;
        proxy_set_header X-Forwarded-Protocol $scheme;
    }
}

ただし、クライアントがGET以外の方法でリクエストを行うと、そのリクエストはGETに変換されます。したがって、クライアントが経由して入ったリクエストメソッドを保存するために; error_pageのnginxドキュメントに示されているように、エラー処理リダイレクトを使用します

そしてそれが我々が使用する理由です 301 =307リダイレクトです。

ここに示すnginx.confファイルを使用すると、httpとhttpsを同じポートでリッスンすることができます

本当に賢くなりたい場合は、接続プロキシを使用して、着信データストリームの最初の数バイトをスニッフィングし、バイト0の内容に基づいて接続をハンドオフできます：0x16の場合（SSL / TLS 'ハンドシェイク」バイト）、接続がSSL側に渡され、それがアルファベット文字の場合、通常のHTTPを実行します。ポート番号についての私のコメントが適用されます。

はい、可能ですが、nginxのソースコードにパッチを適用する必要があります（HoverHellにはパッチを適用しないソリューションがあります）。Nginxは、これを有効な構成ではなく、誤った構成として扱います。

変数$ ssl_session_idを使用して、プレーン接続とssl接続を区別できます。

nginx-0.7.65に対するパッチ：

--- src/http/ngx_http_request.c-orig    2011-05-03 15:47:09.000000000 +0200
+++ src/http/ngx_http_request.c 2011-05-03 15:44:01.000000000 +0200
@@ -1545,12 +1545,14 @@

    c = r->connection;

+    /* disable plain http over https port warning
     if (r->plain_http) {
         ngx_log_error(NGX_LOG_INFO, c->log, 0,
                       "client sent plain HTTP request to HTTPS port");
         ngx_http_finalize_request(r, NGX_HTTP_TO_HTTPS);
         return;
     }
+    */

#if (NGX_HTTP_SSL)

サーバー構成：

server {
    listen 80;
    index index.html;

    location / {
        root html;
        if ($ssl_session_id) {
            root html_ssl;
        }
    }

    ssl on;
    ssl_certificate cert.crt;
    ssl_certificate_key cert.key;
}

単一のポートで2つの異なるプロトコルを処理できるものはないと思います...

私はなぜあなたが1つのポートしか転送できないのか興味がありますが、それはさておき...それは理想的ではありませんが、私があなたの靴にいたなら、私はすべてをhttpsで提供します。

同じポートでHTTPとHTTPSの両方をサポートすることはできません。これは、接続の両端が特定の言語を話すことを期待しており、相手が何かを話している場合にうまく機能しないためです。

ウィルの答えに対するあなたのコメントが示唆したように、TLSアップグレードを使用することができます（私は試していませんが、新しいnginxリリースがそれをサポートしていると信じています）が、それはHTTPとHTTPSを実行しておらず、単にTLSアップグレードでHTTPを実行しています。問題はまだブラウザのサポートです-ほとんどのブラウザは（まだ）それをサポートしていません。ただし、クライアントのプールが限られている場合、これは可能性です。

どうやってそれをやってのけるのかはわかりませんが、CUPSDはポート631でhttpとhttpsの両方に応答します。nginxでそれができなければ、おそらくCUPSチームがそれをやってのける方法から学ぶことができますが、CUPSはGPLであるため、nginxはそのような機能を実装したい場合にライセンスの変更を検討する必要があり、他の場所でそれを行うコードを見つけることができません。

理論的には、https：443でWebSocketを任意の場所に開くことができるHTTP経由でアクセス可能なWebページを作成できます。WebSocketの初期ハンドシェイクはHTTPです。したがって、はい、実際に安全な通信が可能な安全でない外観のページを作成することは可能です。Netty Libraryでこれを行うことができます。

これは、1.15.2以降、最終的に適切に実行できるようになりました。こちらの情報をご覧ください。

nginx.confで、次のようなブロックを追加します（httpブロックの外側）：

stream {
    upstream http {
        server localhost:8000;
    }

    upstream https {
        server localhost:8001;
    }

    map $ssl_preread_protocol $upstream {
        default https;
        "" http;
    }

    server {
        listen 8080;
        listen [::]:8080;
        proxy_pass $upstream;
        ssl_preread on;
    }
}

次に、通常のサーバーブロックを作成できますが、これらの異なるポートでリッスンします。

server {
    listen 8000;
    listen [::]:8000;
    listen 8001 ssl;
    listen [::]:8001 ssl;
...

これにより、ストリームブロックはTLSであるかどうか（この例ではポート8080で）を事前に読み取って検出でき、プロキシはそれをローカルの正しいサーバーポートに渡します。