前言：在現代企業架構中，多域名反向代理是實現業務隔離、品牌獨立的常見方案。然而，看似簡單的Nginx配置背后，隱藏著與TLS協議、后端認證邏輯深度綁定的細節陷阱。本文將從原理到實踐，詳解為何在多域名場景下，proxy_ssl_name不能使用環境變量而必須寫死，以及這一配置錯誤如何導致“網頁能打開但登錄失敗”的詭異現象。

一、場景與背景：多域名反代的典型需求

某企業為實現品牌隔離，部署了一套后端服務，通過兩個域名app.brandA.com和app.brandB.com對外提供服務。架構上，用戶請求先經過Nginx反向代理，再轉發至后端HTTPS服務（端口27777），整體流程如下：

用戶 → Nginx反代 → 后端HTTPS服務（27777端口）

為簡化配置，運維團隊最初在Nginx中使用單server塊配置多域名，并通過環境變量動態設置proxy_ssl_name，配置片段如下：

server {listen 443 ssl;server_name app.brandA.com app.brandB.com;ssl_certificate /etc/nginx/ssl/common.crt; # 包含兩個域名的SAN證書ssl_certificate_key /etc/nginx/ssl/common.key;location / {proxy_pass https://backend:27777;proxy_set_header Host $server_name;proxy_ssl_name $server_name; # 此處使用環境變量proxy_ssl_server_name on;}
}

初期現象：兩個域名的靜態資源（如圖片、CSS）均可正常加載，網頁能打開；但用戶嘗試登錄時，后端始終返回“賬號不存在”或“認證失敗”，且僅多域名配置時出現，單域名配置（僅app.brandA.com）完全正常。

二、核心原理：proxy_ssl_name與TLS握手的“生死時速”

要理解問題根源，需先明確proxy_ssl_name的作用，以及它在TLS握手過程中的關鍵地位。

1. TLS握手與SNI協議

當客戶端通過HTTPS訪問服務時，需經歷TLS握手過程，其中SNI（Server Name Indication） 是實現“一臺服務器托管多域名HTTPS服務”的核心機制。簡單來說：

• 客戶端在TLS握手的第一個消息（ClientHello）中，會攜帶server_name字段，告訴服務器“我要訪問的域名是XX”；
• 服務器根據該字段，返回對應域名的證書（避免多域名場景下證書不匹配的問題）；
• 若SNI不匹配，服務器可能返回默認證書，導致客戶端證書校驗失敗（如瀏覽器提示“不安全”）。

2. proxy_ssl_name的真實作用

在Nginx反向代理場景中，proxy_ssl_name的作用是：當Nginx作為客戶端，向后端HTTPS服務發起TLS握手時，指定發送給后端的SNI值。

也就是說，proxy_ssl_name直接決定了后端服務收到的“客戶端要訪問的域名”，進而影響后端返回的證書、以及基于域名的業務邏輯（如租戶識別、權限校驗）。

3. 環境變量的“時序陷阱”

Nginx中的環境變量（如$server_name、$http_host）需要在請求處理過程中動態解析，而TLS握手是在請求轉發前的“前置步驟”——此時請求尚未完全解析，環境變量可能無法被正確讀取，或讀取到非預期值。

例如：

• 若$server_name解析延遲，TLS握手時可能傳遞空值或默認域名，導致后端使用錯誤證書；
• 多域名場景下，變量解析可能出現“串域”（如訪問app.brandB.com時，SNI被錯誤設置為app.brandA.com）。

三、問題深析：為何網頁能打開但登錄失敗？

這一矛盾現象的核心在于：靜態資源加載與用戶登錄依賴后端的不同邏輯。

1. 靜態資源加載：不依賴域名綁定

網頁的靜態資源（圖片、JS、CSS）通常是“無狀態”的，后端對這類請求的處理邏輯簡單：只要請求格式正確、TLS握手成功，就直接返回資源，不驗證域名與業務的綁定關系。

因此，即使proxy_ssl_name傳遞的SNI偶發錯誤，只要TLS握手未完全失敗（如后端返回默認證書且客戶端兼容），靜態資源仍能加載，表現為“網頁能打開”。

2. 用戶登錄：深度依賴域名-租戶綁定

用戶登錄接口是“有狀態”的，尤其在多租戶系統中，后端會通過以下邏輯驗證身份：

1. 域名→租戶映射：后端通過SNI獲取的域名（即proxy_ssl_name傳遞的值），查詢對應的租戶ID（如app.brandA.com對應租戶1，app.brandB.com對應租戶2）；
2. 租戶→賬號校驗：根據租戶ID，到該租戶的數據庫中查詢用戶賬號（如user@brandA.com僅存在于租戶1的數據庫）；
3. 返回認證結果：若域名無法映射到租戶，或租戶數據庫中無此賬號，則返回“賬號不存在”。

當proxy_ssl_name使用環境變量導致SNI傳遞錯誤時（如app.brandB.com的請求被映射到租戶1），后端在租戶1的數據庫中找不到user@brandB.com，自然返回登錄失敗。

四、排查過程：從現象到本質的定位

1. 初步排查：排除基礎配置錯誤

• DNS與解析：確認兩個域名均正確解析到Nginx服務器IP，nslookup app.brandA.com和nslookup app.brandB.com結果正常；
• 證書有效性：通過openssl x509 -in common.crt -noout -text檢查證書，確認兩個域名均在SAN擴展中，排除證書本身問題；
• Nginx日志：access.log顯示兩個域名的請求均正常到達，error.log無明顯TLS握手錯誤，排除基礎連接問題。

2. 關鍵驗證：對比單/多域名的SNI傳遞

使用openssl s_client模擬Nginx向后端發起TLS握手，觀察SNI值：

# 測試單域名配置（正常）
openssl s_client -connect backend:27777 -servername app.brandA.com
# 輸出中可見：Server Name: app.brandA.com（正確）# 測試多域名配置（異常）
openssl s_client -connect backend:27777 -servername app.brandB.com
# 輸出中可見：Server Name: app.brandA.com（錯誤，被串域）

結果證實：多域名配置下，proxy_ssl_name $server_name未能正確傳遞SNI，導致后端始終收到默認域名。

3. 后端日志佐證：租戶識別失敗

查看后端服務日志（以Java為例），發現關鍵錯誤：

2023-10-01 10:00:00 [ERROR] TenantService - Domain 'app.brandA.com' not mapped to tenant for request from 'app.brandB.com'

日志明確顯示：后端收到的SNI是app.brandA.com，但實際請求來自app.brandB.com，租戶映射失敗，導致登錄時賬號查詢無結果。

五、解決方案：多域名單獨配置，proxy_ssl_name寫死

核心修復思路是：放棄環境變量，為每個域名單獨配置server塊，并將proxy_ssl_name寫死為對應域名，確保SNI傳遞準確。

1. 具體配置

# 域名A配置
server {listen 443 ssl;server_name app.brandA.com;ssl_certificate /etc/nginx/ssl/common.crt;ssl_certificate_key /etc/nginx/ssl/common.key;location / {proxy_pass https://backend:27777;proxy_set_header Host $server_name;proxy_ssl_name app.brandA.com; # 寫死為當前域名proxy_ssl_server_name on;}
}# 域名B配置
server {listen 443 ssl;server_name app.brandB.com;ssl_certificate /etc/nginx/ssl/common.crt;ssl_certificate_key /etc/nginx/ssl/common.key;location / {proxy_pass https://backend:27777;proxy_set_header Host $server_name;proxy_ssl_name app.brandB.com; # 寫死為當前域名proxy_ssl_server_name on;}
}# 80端口強制HTTPS
server {listen 80;server_name app.brandA.com app.brandB.com;return 301 https://$server_name$request_uri;
}

2. 配置解析

• 拆分server塊：每個域名獨立配置，避免環境變量在多域名間的解析沖突；
• proxy_ssl_name寫死：直接指定當前server_name對應的域名，確保TLS握手時SNI傳遞準確；
• 復用證書：若證書包含多個域名（如SAN證書），可復用證書文件，無需額外申請。

六、驗證：確認修復效果

1. TLS握手驗證

再次使用openssl測試，確認SNI正確傳遞：

# 測試域名A
openssl s_client -connect backend:27777 -servername app.brandA.com
# 輸出：Server Name: app.brandA.com（正確）# 測試域名B
openssl s_client -connect backend:27777 -servername app.brandB.com
# 輸出：Server Name: app.brandB.com（正確）

2. 業務功能驗證

• 登錄測試：分別使用app.brandA.com和app.brandB.com登錄，后端日志顯示租戶映射正確，登錄成功；
• 功能覆蓋：測試核心業務接口（如數據提交、權限驗證），確認均能基于正確租戶處理請求。

七、經驗總結：Nginx多域名反代的避坑指南

1. proxy_ssl_name的“靜態優先”原則
   涉及TLS握手的指令（如proxy_ssl_name、ssl_certificate），應優先使用靜態值（寫死），避免依賴環境變量。這類指令的執行時機早于請求解析，變量可能無法正確生效。

2. 多域名配置的“隔離性”
   即使域名共享后端服務，也建議拆分server塊單獨配置。這種方式雖然增加了配置量，但能避免變量沖突、簡化排查，尤其適合多租戶場景。

3. 證書與SNI的匹配性
   若使用單證書支持多域名，需確保證書的SAN擴展包含所有域名；若使用通配符證書（如*.brandA.com），需確認proxy_ssl_name傳遞的域名符合通配符規則。

4. 日志與測試工具的關鍵作用
   排查時，openssl s_client（驗證SNI）、后端業務日志（驗證租戶映射）、Nginx的error_log（開啟debug級別）是定位問題的三大核心工具。

結語

Nginx反向代理的配置細節，往往與底層協議（如TLS）、后端業務邏輯深度耦合。“proxy_ssl_name不能用環境變量”看似是一個簡單的配置規則，實則是對TLS握手時序、SNI作用及多租戶認證邏輯的綜合考量。在多域名場景中，保持配置的“確定性”，往往是避免詭異問題的最佳實踐。