问题现象

客户做了一个https>https的域名转换，网页端是正常访问的，但是在uclient里面添加应用就不行了,出来两个不对的应用，也安装不了，提示失败。

https>https://i-blog.csdnimg.cn/direct/fe5d0f2046a7468cb1f9fbcdf01f5d49.png" width="1200" />

https>https://i-blog.csdnimg.cn/direct/3c7e1280b9d442cba91cfb73223b6f25.png" width="1200" />

问题分析

点击添加应用发现，本来添加地址是https>https://域名:外网端口，但是相关jar下载地址却变成了http://服务器主机名:外网端口，但服务器内网无相关端口。由此可判断可能是转发出现异常导致。

https>https://i-blog.csdnimg.cn/direct/894b9d5db5454b26b459c19507a4b1ac.png" width="1200" />

查看网络配置逻辑，有个统一绑定域名和证书的Nginx1，用户通过https>https协议访问Nginx1的Port1端口后，把请求转发到Nginx2的Port2端口上，在通过Nginx2通过http代理把请求转发到NCC的Port3端口上。分别部署在3台不同的机器上。分别放置Nginx1、Nginx2、NCC代码。

https>https://i-blog.csdnimg.cn/direct/9274814fd5b64201bd7608bef065cdfb.png" width="1177" />

查看NCC架构发现非集群架构，只是一个单点模式。

https>https://i-blog.csdnimg.cn/direct/903aa0c9d7a44ebfb287b84ac808cb63.png" width="1200" /> 

Nginx1关键配置 

#### 服务器1的IP加密为1.1.1.1；服务器2的IP加密为2.2.2.2；服务器3的IP加密为3.3.3.3server {listen 443 ssl;server_name 1.1.1.1;ssl_certificate /a/b/c/9496525__dossen.com.pem;ssl_certificate_key /a/b/c/9496525__dossen.com.key;ssl_session_timeout  5m;ssl_protocols TLSv1 TLSv1.1 TLSv1.2;underscores_in_headers on;ssl_prefer_server_ciphers on;location / {proxy_pass http://NCNginx;}
｝upstream NCNginx {server 2.2.2.2:Port2
}

https>https://i-blog.csdnimg.cn/direct/14010cdabe93457d80bf0fcc65c4fa5d.png" width="1200" />

Nginx2关键配置

#### 服务器1的IP加密为1.1.1.1；服务器2的IP加密为2.2.2.2；服务器3的IP加密为3.3.3.3server {listen Port2;server_name 2.2.2.2;location / {proxy_pass http://NCServer;proxy_set_header Host $host:$server_port;proxy_set_header X-Real-IP $remote_addr;proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;proxy_http_version 1.1;proxy_set_header Connection keep-alive;}
｝upstream NCServer {server 3.3.3.3:Port3
}

https>https://i-blog.csdnimg.cn/direct/01ed0095823c4818964fea7f3b957b3a.png" width="1200" />

由于非集群中间层Nginx2没有部署的必要，和客户沟通，建议减少一层负载。直接让其从Nginx1直接把请求转到NCC上。

#### 服务器1的IP加密为1.1.1.1；服务器2的IP加密为2.2.2.2；服务器3的IP加密为3.3.3.3server {listen 443 ssl;server_name 1.1.1.1;ssl_certificate /data/yonyou/certs/9496525__dossen.com.pem;ssl_certificate_key /data/yonyou/certs/9496525__dossen.com.key;ssl_session_timeout  5m;ssl_protocols TLSv1 TLSv1.1 TLSv1.2;underscores_in_headers on;ssl_prefer_server_ciphers on;location / {proxy_pass http://NCServer;#增加如下配置proxy_set_header Host $host:$server_port;proxy_set_header X-Real-IP $remote_addr;proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;proxy_http_version 1.1;proxy_set_header Connection keep-alive;}
｝upstream NCServer {server 3.3.3.3:Port3
}

https>https://i-blog.csdnimg.cn/direct/2e08af5b56dc4624ace34cdf532484ff.png" width="1200" />

再次测试发现，通过Uclient添加应用，轻量端正常。但重量端问题依旧。还剩走http协议，但是直接下载地址从http://应用服务器主机名:外端端口变更为真实域名。但轻量端已经恢复正常。

https>https://i-blog.csdnimg.cn/direct/74c5bc22acba4b51a59002e42696c00a.png" width="1200" />

查阅文档得知，如果Uclient想走https>https协议添加应用。

需要修改webapps/nc_web/Client/uclient_appconfig.properties文件增加如下内容。

https>https://i-blog.csdnimg.cn/direct/5029d81606a94155bc024daa54630701.png" width="1200" />

重启服务后验证后发现Uclient重量端依旧有问题。

访问https>https://域名:端口/app.esc发现，还是走的http协议，说明修改的配置未生效。说明应该是代码层面绑定导致的。

https>https://i-blog.csdnimg.cn/direct/238786f259b74e4e8174850687882f10.png" width="1200" />

解决方案

打相关补丁，重启服务。

https>https://i-blog.csdnimg.cn/direct/eb2da93712f84e158b501e3b43293b30.png" width="351" />

注意，打了此补丁，可能会导致uclient通过http协议添加应用失败。（强走https>https协议）