Я перекрестно размещаю это из Serverfault, потому что кажется, что команда Sails контролирует Stackoverflow.Socket.io с Sails.js/Node.js и NGINX на SSL: плохой шлюз
Я только начал заниматься NGINX и SSL.
Использование Ubuntu 16.04.
Я запускаю сервер Sails на стандартном порте 1337 и просто настраиваю NGINX с помощью SSL (используя letencrypt). Порт 80 перенаправляется на 443, а вверх по потоку переходит к Sails.
У меня также есть сервер Tomcat, который прослушивает 8080 и использует NGINX для перенаправления таким же образом.
Все работает нормально: я могу просматривать оба сервера на https без специальных портов в браузере.
Я установил socket.io для использования только протокола websockets (без опроса). Это устанавливается на сервере и на клиенте браузера.
Однако socket.io (sails.io) выбрасывает ошибку 502 без браузера. (Опрос дал ошибку тоже)
Вот мои Nginx сайты, для сервера Sails:
upstream sails {
server 127.0.0.1:1337 fail_timeout=0;
}
server {
listen 80;
listen [::]:80;
server_name mysails.server.com;
return 301 https://$server_name$request_uri;
}
server {
listen 443;
listen [::]:443 ssl http2;
server_name mysails.server.com;
include snippets/ssl-mysails.server.conf;
include snippers/ssl-params.conf;
large_client_header_buffers 8 32k;
location/{
proxy_pass http://sails/;
proxy_http_version 1.1;
proxy_redirect off;
proxy_set_header Host $host;
proxy_set_header Port $server_port;
proxy_set_header X-Real-IP $remot_addr;
proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
proxy_set_header X-NginX-Proxy true;
proxy_pass_request_headers on;
}
location /socket.io/ {
proxy_pass http://sails/;
proxy_http_version 1.1;
proxy_redirect off;
proxy_set_header Host $host;
proxy_set_header Port $server_port;
proxy_set_header X-Real-IP $remot_addr;
proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
proxy_set_header X-NginX-Proxy true;
proxy_pass_request_headers on;
proxy_set_header Upgrade $http_upgrade;
proxy_set_header Connection "upgrade";
proxy_buffers 8 32k;
proxy_buffer_size 64k;
}
}
snippets/ssl-mysails.server.conf
и snippers/ssl-params.conf
файлы содержат:
ssl_certificate /path/to/letsencrypt/fullchain.pem;
ssl_certificate_key /path/to/letsencrypt/privkey.pem;
и
# from https://cipherli.st/
# and https://raymii.org/s/tutorials/Strong_SSL_Security_On_nginx.html
ssl_protocols TLSv1 TLSv1.1 TLSv1.2;
ssl_prefer_server_ciphers on;
ssl_ciphers "EECDH+AESGCM:EDH+AESGCM:AES256+EECDH:AES256+EDH";
ssl_ecdh_curve secp384r1;
ssl_session_cache shared:SSL:10m;
ssl_session_tickets off;
ssl_stapling on;
ssl_stapling_verify on;
resolver 8.8.8.8 8.8.4.4 valid=300s;
resolver_timeout 5s;
# Disable preloading HSTS for now. You can use the commented out header line that includes
# the "preload" directive if you understand the implications.
#add_header Strict-Transport-Security "max-age=63072000; includeSubdomains; preload";
add_header Strict-Transport-Security "max-age=63072000; includeSubdomains";
add_header X-Frame-Options DENY;
add_header X-Content-Type-Options nosniff;
ssl_dhparam /etc/ssl/certs/dhparam.pem;
Кто-нибудь знает, что происходит ...?
** UPDATE **
Я добавил много информации о журналах и поведения на Serverfault вопрос