服务器 Gind.cn
  1. 服务器 Gind.cn
  3. Nginx SSL证书服务于parsing服务器IP的所有服务器名称
Intereting Posts
处理与星号:: AMI命令不同的操作 pvcreate不能正常工作:无法打开 慢查询日志只有一个数据库 强制使用IPv4地址上的IPv6地址 确认可疑黑客的程序? (Linux)的 Windows 2012 R2启动button不能通过RDP工作 什么是最简单的方法来删除损坏的registry项? 迁移本地Outlook帐户到Exchange帐户没有同步 我应该select语言节点还是Python来自动化AWS? SuperMicro IPMI使用基于Windows的RADIUS(NPS) 具有一个公有IP的ESXi 4.0 如何使用virsh自动启动虚拟networking? 如何在KVM虚拟化Windows Server上运行启动修复? Apache 2.4 proxy_balancer和lbmethod_byrequest ntfsclone报告“无法在470585344读取扇区,丢失数据”。 我怎样才能确定是什么文件?

Nginx SSL证书服务于parsing服务器IP的所有服务器名称

鉴于我在DNS中configuration了2个子域名(所以ping和我的服务器的IP地址都答复)和这些子域名我有2个不同的TLS证书。

我这样configurationnginx

# If we receive X-Forwarded-Proto, pass it through; otherwise, pass along the # scheme used to connect to this server map $http_x_forwarded_proto $proxy_x_forwarded_proto { default $http_x_forwarded_proto; '' $scheme; } # If we receive Upgrade, set Connection to "upgrade"; otherwise, delete any # Connection header that may have been passed to this server map $http_upgrade $proxy_connection { default upgrade; '' ''; } gzip_types text/plain text/css application/json application/x-javascript text/xml application/xml application/xml+rss text/javascript; access_log /var/log/nginx.log; error_log /var/log/nginx_errors.log; # HTTP 1.1 support proxy_http_version 1.1; proxy_buffering off; proxy_set_header Host $http_host; proxy_set_header Upgrade $http_upgrade; proxy_set_header Connection $proxy_connection; proxy_set_header X-Real-IP $remote_addr; proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for; proxy_set_header X-Forwarded-Proto $proxy_x_forwarded_proto; server { listen 80 default_server; server_name _; # This is just an invalid value which will never trigger on a real hostname. return 503; server_tokens off; # Hide the nginx version } upstream sub1.domain.tld { server 172.17.0.27:5000; } server { server_name sub1.domain.tld; server_tokens off; # Hide the nginx version listen 443 ssl; ssl_certificate /etc/nginx/ssl/sub1.domain.tld.crt; ssl_certificate_key /etc/nginx/ssl/sub1.domain.tld.key; location / { auth_basic "Restricted"; auth_basic_user_file /etc/nginx/htpasswd/sub1.htpasswd; proxy_pass http://sub1.domain.tld; } }

在这一点上,如果我去https://sub1.domain.tld所有工作正常。 现在,如果我尝试访问尚未configuration的https://sub2.domain.tld ,因此不应答复它接受连接,并向我显示证书的问题,因为它与服务器名称不匹配,所以它似乎通过这种configuration,Nginx将所有请求的证书发送到443端口。

我应该如何更改我的configuration,以便访问https://sub2.domain.tld失败(例如503错误),直到我通过添加新的server指令来configuration它?

你可以像这样添加另一个服务器块: 

 server { listen 443 ssl default_server; server_name _; ssl_certificate /etc/nginx/ssl/default.crt; ssl_certificate_key /etc/nginx/ssl/default.key; return 503; }

对于默authentication书,您可以创build一个自签名证书。 这将在客户端触发无效的证书错误,如Steffen提到的。 如果用户接受证书,他将收到503状态码。

如果您在特定IP上的TCP端口443上侦听,则即使您仅为parsing为此IP地址的某些域configuration了SSL,它也会在此端口上接受新的TCP连接。 一旦build立了TCP连接,它将执行SSL握手并select最合适的证书,即如果使用SNI(即,客户端在SSL握手中发送期望的主机名)或者如果不能确定所请求的主机名或者是否没有为此名称configuration证书。

这意味着,您需要拥有在此IP地址上可访问的所有域的证书或接受,没有正确证书的域访问将导致无效证书等错误。 这不是nginx特有的,但是这是因为SSL是TCP之上的一个层,所请求主机的信息只在build立的TCP连接中传输。