当 nginx 充当 https 内部服务器（也是 nginx）的反向代理时，浏览器会看到哪个证书

问：

我目前有一个使用自签名证书的内部 http/2 （https） 网站。该网站纯粹是内部的，不需要（事实上目前禁止）外部访问。大多数用户都安装了自签名证书颁发机构的证书，但有些用户没有安装，这很痛苦。

我正在计划将来这个应用程序被 dockerized 化，并将位于 synology NAS 上。Synology 允许使用反向代理，如果防火墙端口将端口 80 转发给该代理，则该代理可以自动获取该代理的 Lets Encrypt 证书。假设您可以获得 的证书。我不是 100% 确定 NAS 将这些证书存储在哪里。我希望这无关紧要。端口 443 仍处于关闭状态。myapp.example.com

现在，如果端口 443 在外部防火墙上保持关闭状态，但您告诉本地 DNS 服务器 的 IP 地址是 Synology NAS 的 IP 地址。导航到的内部用户将获得代理网站，而外部用户将一无所获（连接被拒绝）。myapp.example.comhttps://myapp.example.com

我的问题是;浏览器是否会从第一个反向代理或从第二个 Nginx 服务器获得自签名证书。正如我所说，我希望前者能够解决自签名证书问题，但也防止了 docker 容器需要有一个卷来链接证书，这取决于 Synology 决定在下一个版本中做什么。

更新

在其他地方阅读了不同问题的答案后，这个问题变得无关紧要。反向代理与运行 docker 容器位于同一台计算机上。因此，不代理到不需要证书的 http 服务器可以忽略不计。因此，代理处理 lets 加密证书，并且内部 dockerised nginx 服务器中没有使用任何证书，因为它只打开了端口 80（尽管 docker -p 规范将其更改为该容器主机独有的不同）