Ce tutoriel explique comment configurer nginx en tant que reverse proxy pour un autre serveur web (Apache2 par exemple), sur un syst\u00e8me Debian. On veut :<\/p>\n
Ce tutoriel a \u00e9t\u00e9 mis \u00e0 jour le 17 janvier 2026<\/b>.<\/p>\n
<\/p>\n
Avant de pouvoir confier \u00e0 nginx les ports 443 et 80, il faut d\u2019abord d\u00e9placer le serveur web existant vers des ports non standards. Dans la suite de ce tutoriel, on va consid\u00e9rer qu\u2019il s\u2019agit d\u2019Apache2, et qu\u2019on le d\u00e9place sur l\u2019interface locale et les ports 60443 et 60080. Pour sch\u00e9matiser ce qu\u2019on va faire :<\/p>\n
Navigateur \u2192 nginx (domain.tld:443) \u2192 Apache (localhost:60443)<\/pre>\n<\/p>\n Lib\u00e9rer les ports 443 et 80<\/h4>\n
<\/center><\/p>\n
\u00c9ditez le fichier \/etc\/apache2\/ports.conf<\/i> :<\/p>\n
\nListen 60080\n\n<IfModule ssl_module>\n Listen 60443\n<\/IfModule>\n\n<IfModule mod_gnutls.c>\n Listen 60443\n<\/IfModule>\n<\/pre>\nD\u00e9sormais, le last resort host sera g\u00e9r\u00e9 par nginx. On peut donc d\u00e9sactiver le site 000-default.conf<\/i> : si on le modifiait pour y mettre le port 60080, dpkg s\u2019arr\u00eaterait sur ce fichier lors des mises \u00e0 jour du paquet Apache.<\/p>\n
# a2dissite 000-default.conf<\/pre>\n\u00c9diter tous les fichiers dans \/etc\/apache2\/sites-enabled\/<\/i>, pour remplacer <VirtualHost *:443><\/i> par <VirtualHost 127.0.0.1:60443><\/i>. De la m\u00eame mani\u00e8re, <VirtualHost *:80><\/i> devient <VirtualHost 127.0.0.1:60080><\/i>.<\/p>\n
On demande \u00e0 Apache de recharger sa configuration :<\/p>\n
# systemctl reload apache2.service<\/pre>\n<\/p>\n V\u00e9rification<\/h4>\n
<\/center><\/p>\n
On v\u00e9rifie que les ports 443 et 80 sont lib\u00e9r\u00e9s, et qu\u2019Apache \u00e9coute bien sur les ports non standards :<\/p>\n
\n# netstat -nplt \nActive Internet connections (only servers)\nProto Recv-Q Send-Q Local Address Foreign Address State PID\/Program name\ntcp6 0 0 :::60080<\/b> :::* LISTEN 53686\/apache2<\/b>\ntcp6 0 0 :::60443<\/b> :::* LISTEN 53686\/apache2<\/b>\n<\/pre>\nnginx<\/h2>\n
On installe le paquet :<\/p>\n
# apt install nginx<\/pre>\n<\/p>\n Pour qu\u2019Apache utilise le bon certificat<\/h4>\n
<\/center><\/p>\n
Par d\u00e9faut, nginx n\u2019envoie pas le SNI (Server Name Indication) lors de la connexion TLS vers Apache. \u00c7a provoque cette erreur :<\/p>\n
\nMisdirected Request\nThe client needs a new connection for this request as the requested host name does not match the Server Name Indication (SNI) in use for this connection.\n<\/pre>\nDe plus, quand Apache est derri\u00e8re un reverse proxy, la r\u00e9utilisation des sessions TLS peut poser probl\u00e8me avec son module mod_ssl<\/i>. Donc pour qu\u2019Apache utilise le bon certificat, il faut que nginx lui envoie le SNI, et \u00e0 chaque connexion il faut forcer une \u201cpoign\u00e9e de main\u201d compl\u00e8te (handshake TLS). Cr\u00e9ez le fichier \/etc\/nginx\/conf.d\/tls.conf<\/i> :<\/p>\n
\nproxy_ssl_server_name on;\nproxy_ssl_name $host;\nproxy_ssl_session_reuse off;\n<\/pre>\n<\/p>\n Configuration des sites<\/h4>\n
<\/center><\/p>\n
Pour chaque site g\u00e9r\u00e9 par Apache, il faut cr\u00e9er un fichier dans \/etc\/nginx\/sites-available\/<\/i> :<\/p>\n
\nserver {\n server_name almic.fr;\n listen 443 ssl;\n ssl_certificate \/etc\/letsencrypt\/live\/almic.fr\/fullchain.pem;\n ssl_certificate_key \/etc\/letsencrypt\/live\/almic.fr\/privkey.pem;\n location \/ {\n include proxy_params;\n proxy_pass https:\/\/127.0.0.1:60443;\n }\n}\n\nserver {\n server_name almic.fr www.almic.fr;\n listen 80;\n return 302 https:\/\/almic.fr\/$request_uri;\n}\nserver {\n server_name www.almic.fr;\n listen 443 ssl;\n ssl_certificate \/etc\/letsencrypt\/live\/www.almic.fr\/fullchain.pem;\n ssl_certificate_key \/etc\/letsencrypt\/live\/www.almic.fr\/privkey.pem;\n return 302 https:\/\/almic.fr\/$request_uri;\n}\n<\/pre>\nComme mentionn\u00e9 plus haut, le last resort host va \u00eatre g\u00e9r\u00e9 par nginx. Ce site par d\u00e9faut est utilis\u00e9 lorsqu\u2019aucun server_name<\/i> ne correspond au domaine demand\u00e9 par le navigateur. Cr\u00e9ez le fichier \/etc\/nginx\/sites-available\/fallback<\/i> :<\/p>\n
\nserver {\n server_name _;\n listen 80 default_server;\n root \/srv\/www\/zd_divers\/403_verboten;\n index index.html;\n location \/ {\n try_files $uri $uri\/ =404;\n }\n}\nserver {\n server_name _;\n listen 443 ssl default_server;\n ssl_certificate \/etc\/ssl\/private\/Self_signed.pem;\n ssl_certificate_key \/etc\/ssl\/private\/Self_signed.pem;\n root \/srv\/www\/zd_divers\/403_verboten;\n index index.html;\n location \/ {\n try_files $uri $uri\/ =404;\n }\n}\n<\/pre>\nEnsuite on active chaque site pour nginx :<\/p>\n
\n# cd \/etc\/nginx\/sites-enabled\n# ln -s ..\/sites-available\/almic.fr\n(\u2026)\n# ln -s ..\/sites-available\/fallback\n<\/pre>\nPour finir, on demande \u00e0 nginx de recharger sa configuration :<\/p>\n
# systemctl reload nginx.service<\/pre>\n","protected":false},"excerpt":{"rendered":"Ce tutoriel explique comment configurer nginx en tant que reverse proxy pour un autre serveur web (Apache2 par exemple), sur un syst\u00e8me Debian. On veut : que le serveur existant continue de servir les applications web et les sites d\u00e9j\u00e0 configur\u00e9s ; pouvoir faire tourner d\u2019autres serveurs web sur le m\u00eame syst\u00e8me ; pouvoir envoyer… Continue Reading Utiliser nginx en reverse proxy<\/a><\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[4],"tags":[],"class_list":["post-772","post","type-post","status-publish","format-standard","hentry","category-hebergement","radius"],"_links":{"self":[{"href":"https:\/\/almic.fr\/blog\/wp-json\/wp\/v2\/posts\/772","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/almic.fr\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/almic.fr\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/almic.fr\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/almic.fr\/blog\/wp-json\/wp\/v2\/comments?post=772"}],"version-history":[{"count":69,"href":"https:\/\/almic.fr\/blog\/wp-json\/wp\/v2\/posts\/772\/revisions"}],"predecessor-version":[{"id":864,"href":"https:\/\/almic.fr\/blog\/wp-json\/wp\/v2\/posts\/772\/revisions\/864"}],"wp:attachment":[{"href":"https:\/\/almic.fr\/blog\/wp-json\/wp\/v2\/media?parent=772"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/almic.fr\/blog\/wp-json\/wp\/v2\/categories?post=772"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/almic.fr\/blog\/wp-json\/wp\/v2\/tags?post=772"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}