Nginx
如何使用 nginx 使用自己的證書設置多個子域?
除非我讀過的每個答案都是完全錯誤的,否則 SNI 應該可以做我想做的事,但每個指南都告訴我做我正在做的事。
然而 nginx 提供了錯誤的證書,所以我顯然做錯了什麼。
❯ sudo nginx -V | grep SNI %1 nginx version: nginx/1.10.3 built with OpenSSL 1.1.0f 25 May 2017 TLS SNI support enabled configure arguments: --with-cc-opt='-g -O2 -fdebug-prefix-map=/build/nginx-qJwWoo/nginx-1.10.3=. -fstack-protector-strong -Wformat -Werror=format-security -Wdate-time -D_FORTIFY_SOURCE=2' --with-ld-opt='-Wl,-z,relro -Wl,-z,now' --prefix=/usr/share/nginx --conf-path=/etc/nginx/ngi nx.conf --http-log-path=/var/log/nginx/access.log --error-log-path=/var/log/nginx/error.log --lock-path=/var/lock/nginx.lock --pid-path=/run/nginx.pid --modules-path=/usr/lib/nginx/modules --http-client-body-temp-path=/var/lib/nginx/body --http-fastcgi-temp-path=/var/lib/nginx/fa stcgi --http-proxy-temp-path=/var/lib/nginx/proxy --http-scgi-temp-path=/var/lib/nginx/scgi --http-uwsgi-temp-path=/var/lib/nginx/uwsgi --with-debug --with-pcre-jit --with-ipv6 --with-http_ssl_module --with-http_stub_status_module --with-http_realip_module --with-http_auth_reques t_module --with-http_v2_module --with-http_dav_module --with-http_slice_module --with-threads --with-http_addition_module --with-http_geoip_module=dynamic --with-http_gunzip_module --with-http_gzip_static_module --with-http_image_filter_module=dynamic --with-http_sub_module --wit h-http_xslt_module=dynamic --with-stream=dynamic --with-stream_ssl_module --with-mail=dynamic --with-mail_ssl_module --add-dynamic-module=/build/nginx-qJwWoo/nginx-1.10.3/debian/modules/nginx-auth-pam --add-dynamic-module=/build/nginx-qJwWoo/nginx-1.10.3/debian/modules/nginx-dav- ext-module --add-dynamic-module=/build/nginx-qJwWoo/nginx-1.10.3/debian/modules/nginx-echo --add-dynamic-module=/build/nginx-qJwWoo/nginx-1.10.3/debian/modules/nginx-upstream-fair --add-dynamic-module=/build/nginx-qJwWoo/nginx-1.10.3/debian/modules/ngx_http_substitutions_filter_m odule
這是我的配置的樣子:
server { listen 443 ssl default_server; listen [::]:443 ssl; server_name one.example.com; ssl on; ssl_certificate /etc/letsencrypt/live/one.example.com/fullchain.pem; ssl_certificate_key /etc/letsencrypt/live/one.example.com/privkey.pem; index index.html; root /var/www/one.example.com/site; } server { #listen 443 ssl default_server; listen [::]:443 ssl; server_name two.example.com; ssl on; ssl_certificate /etc/letsencrypt/live/two.example.com/fullchain.pem; ssl_certificate_key /etc/letsencrypt/live/two.example.com/privkey.pem; index index.html; root /var/www/two.example.com/site; }
如果我
listen 443 ssl default_server;
在任一伺服器中都有該指令,它將為兩個域返回該伺服器的 SSL 證書。如果我從兩個域中刪除它,那麼我什麼也得不到——兩個伺服器域都拒絕連接。我在這裡出了什麼問題?我只是不明白 SNI 是如何工作的嗎?我的 nginx 是在啟用 SNI 支持的情況下建構的。然而……我只獲得了為一個子域提供的 ssl 證書。
listen 443 ssl default_server; listen [::]:443 ssl;
第一行啟用偵聽 IPv4 上的埠 443。第二行僅涵蓋 IPv6。由於您只有一個
listen 443
(IPv4) 配置,因此如果您使用 IPv4 連接,它就會被使用。如果您嘗試使用 IPv6 連接,則 SNI 應該會顯示預期的行為。相反,您可能會使用預設伺服器:
listen 443 ssl default_server; listen [::]:443 ssl default_server;
而對於另一台伺服器
listen 443 ssl; listen [::]:443 ssl;