proxy:error AH00898:リモートサーバーとのSSLハンドシェイク中のエラー

16

ネットワーク内のcPanelメールサーバーのフロントエンドとして機能するサーバーがあります。フロントエンドサーバーのApacheプロキシは152日間エラーなしで実行されましたが、メールサーバーのWebメールクライアントにアクセスするときに500/502エラーが突然発生しました。

フロントエンドサーバーは署名されたSSL証明書を使用し、cPanelサーバーは自己署名証明書を使用しています。以下は、フロントエンドサーバーが最初に発生したときのフロントエンドサーバーからのエラーログ出力です。

[Tue Sep 10 18:22:52.959291 2013] [proxy:error] [pid 19531] (502)Unknown error 502: [client 173.xx.xx.xx:9558] AH01084: pass request body failed to 184.xx.xx.xx:2096 (184.xx.xx.xx), referer: https://domain.com:2096/cpsess12385596/3rdparty/roundcube/?_task=mail&_refresh=1&_mbox=INBOX

[Tue Sep 10 18:22:52.959469 2013] [proxy:error] [pid 19531] [client 173.xx.xx.xx:9558] AH00898: Error during SSL Handshake with remote server returned by /cpsess12385596/3rdparty/roundcube/, referer: https://domain.com:2096/cpsess12385596/3rdparty/roundcube/?_task=mail&_refresh=1&_mbox=INBOX

フロントエンドサーバーは、Apache/2.4.6 (Amazon) このサーバー上のプロキシのMy VirtualHostセットアップを実行するEC2インスタンスです。

< VirtualHost *:2096> ServerName domain.com

SSLEngine on
SSLProxyEngine on
SSLProxyVerify none
SSLProxyCheckPeerCN off

SSLCertificateFile /x/x/x/domain.com.crt
SSLCertificateKeyFile /x/x/x/domain.com.key
SSLCACertificateFile /x/x/x/domain.com.cabundle

ProxyPass / https://184.xx.xx.xx:2096/
ProxyPassReverse / https://184.xx.xx.xx:2096/
ProxyPassReverseCookieDomain 184.xx.xx.xx:2096 domain.com
ProxyPassReverseCookiePath / /

SetOutputFilter INFLATE;proxy-html;DEFLATE
ProxyHTMLURLMap https://184.xx.xx.xx:2096 /

< /VirtualHost>

フロントエンドサーバーで何も変わっていないと思う限り、この問題に気づき、うまくいっていなくても両方のサーバーで再起動を試みましたが、これを修正するために何もしませんでした。

助言がありますか?

apache-2.2  amazon-ec2  ssl  reverse-proxy 
デページ
ソース

回答:

32

サーバーバージョン:Apache / 2.4.6で同じ問題に出くわした

[1]のドキュメントによると、「2.4.5以降では、SSLProxyCheckPeerCNはSSLProxyCheckPeerNameに置き換えられており、SSLProxyCheckPeerName offが同時に指定されている場合にのみ設定が考慮されます。」

そのため、次のエントリを追加するとうまくいきました。

SSLProxyCheckPeerName off

だから私の作業設定は次のようになります...

    ProxyRequests Off

    SSLEngine On
    SSLProxyEngine On
    SSLProxyVerify none
    SSLProxyCheckPeerCN off
    SSLProxyCheckPeerName off

    SSLCertificateFile /x/x/keys/server.crt
    SSLCertificateKeyFile /x/x/keys/server.key

[1] http://httpd.apache.org/docs/2.4/mod/mod_ssl.html

パビトラ・マドゥランギ
ソース
1
「SSLEngine On」は、構成のプロキシ部分ではなく、プロキシ構成オプションでグループ化されていても、SSL / TLSを介しこの要求を処理することに注意してください。
ペルセウス
14

バックエンドサーバーが古い自己署名証明書を使用する場合、もう1つのオプションが必要です(バックエンドサーバーへのアクセスがない場合)。

SSLProxyCheckPeerExpire off
ミラン・ケルスラーガー
ソース
これは、Apache 2.2から2.4へのリバースプロキシを移行する私のために働いた
Segolas
弊社のサイトを使用することにより、あなたは弊社のクッキーポリシーおよびプライバシーポリシーを読み、理解したものとみなされます。
Licensed under cc by-sa 3.0 with attribution required.