看起来你遇到的是Git客户端不信任反向代理Nginx的SSL证书问题——浏览器能正常访问是因为你可能手动信任了自签证书，或者浏览器的安全策略相对宽松，但Git客户端对证书验证更严格。下面是几个针对性的解决方案，你可以根据自己的环境选择：

一、让Git客户端信任Nginx的证书 #

如果你的Nginx使用的是自签证书，最直接的办法就是让Git客户端信任这个证书：

• 先把Nginx的证书文件（比如nginx.crt）复制到执行git clone的客户端机器上
• 全局配置所有Git仓库信任该证书：

  git config --global http.sslCAInfo /path/to/your/nginx.crt
  

• 或者只针对单个仓库配置：

  git config http.sslCAInfo /path/to/your/nginx.crt
  

• 如果你用的是Linux客户端，也可以把证书复制到系统信任目录并更新：

  cp /path/to/your/nginx.crt /etc/ssl/certs/
  update-ca-certificates
  

二、修正GitLab的外部URL及反向代理配置 #

GitLab的external_url配置会直接影响它生成的克隆地址，同时需要让它知道自己运行在反向代理后面：

1. 进入GitLab容器，修改/etc/gitlab/gitlab.rb配置文件：

   # 设置对外访问的HTTPS地址，比如你的域名
   external_url 'https://gitlab.yourdomain.com'
   # 因为Nginx反向代理到GitLab的80端口，所以关闭GitLab自身的HTTPS监听
   nginx['listen_port'] = 80
   nginx['listen_https'] = false
   # 添加Nginx容器的IP到信任代理列表，让GitLab正确获取客户端IP和协议
   gitlab_rails['trusted_proxies'] = ['172.17.0.2'] # 替换成你的Nginx容器IP
   

2. 重新配置GitLab使修改生效：

   gitlab-ctl reconfigure
   

三、完善Nginx的SSL及反向代理配置 #

你的Nginx配置片段里缺少了关键的SSL配置和反向代理头部传递，确保完整配置如下：

upstream gitlab{ 
    server gitlab:80; 
}

map $http_upgrade $connection_upgrade {
    default upgrade;
    '' close;
}

# HTTP重定向到HTTPS
server { 
    listen 80; 
    server_name gitlab.yourdomain.com; # 替换成你的域名
    return 301 https://$host$request_uri;
}

# HTTPS服务器
server {
    listen 443 ssl;
    server_name gitlab.yourdomain.com;

    # SSL证书配置，替换成你的证书路径
    ssl_certificate /path/to/fullchain.pem;
    ssl_certificate_key /path/to/privkey.pem;

    # 安全的SSL协议和加密套件
    ssl_protocols TLSv1.2 TLSv1.3;
    ssl_ciphers HIGH:!aNULL:!MD5;
    ssl_prefer_server_ciphers on;

    # 反向代理核心配置
    location / {
        proxy_pass http://gitlab;
        # 传递必要的头部，让GitLab知道外部是HTTPS
        proxy_set_header Host $host;
        proxy_set_header X-Real-IP $remote_addr;
        proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
        proxy_set_header X-Forwarded-Proto $scheme;
        proxy_set_header X-Forwarded-Ssl on;
    }

    # 处理GitLab的WebSocket连接（比如WebIDE、实时通知）
    location /ws/ {
        proxy_pass http://gitlab;
        proxy_http_version 1.1;
        proxy_set_header Upgrade $http_upgrade;
        proxy_set_header Connection $connection_upgrade;
        proxy_set_header Host $host;
        proxy_set_header X-Real-IP $remote_addr;
        proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
        proxy_set_header X-Forwarded-Proto $scheme;
    }
}

这里的关键是X-Forwarded-Proto头部，它会告诉GitLab外部请求是通过HTTPS访问的，确保生成的克隆地址是正确的HTTPS链接。

四、临时绕过证书验证（仅测试环境用） #

如果是测试环境不想折腾证书，可以临时关闭Git的证书验证，但绝对不要在生产环境使用：

• 全局关闭：

  git config --global http.sslVerify false
  

• 单个仓库关闭：

  git config http.sslVerify false
  

内容的提问来源于stack exchange，提问作者brospars