Nginx

如何使用 nginx 使用自己的證書設置多個子域?

  • October 12, 2017

除非我讀過的每個答案都是完全錯誤的,否則 SNI 應該可以做我想做的事,但每個指南都告訴我做我正在做的事。

然而 nginx 提供了錯誤的證書,所以我顯然做錯了什麼。

❯ sudo nginx -V | grep SNI                                                                                                                                                                                                                                                            %1
nginx version: nginx/1.10.3
built with OpenSSL 1.1.0f  25 May 2017
TLS SNI support enabled
configure arguments: --with-cc-opt='-g -O2 -fdebug-prefix-map=/build/nginx-qJwWoo/nginx-1.10.3=. -fstack-protector-strong -Wformat -Werror=format-security -Wdate-time -D_FORTIFY_SOURCE=2' --with-ld-opt='-Wl,-z,relro -Wl,-z,now' --prefix=/usr/share/nginx --conf-path=/etc/nginx/ngi
nx.conf --http-log-path=/var/log/nginx/access.log --error-log-path=/var/log/nginx/error.log --lock-path=/var/lock/nginx.lock --pid-path=/run/nginx.pid --modules-path=/usr/lib/nginx/modules --http-client-body-temp-path=/var/lib/nginx/body --http-fastcgi-temp-path=/var/lib/nginx/fa
stcgi --http-proxy-temp-path=/var/lib/nginx/proxy --http-scgi-temp-path=/var/lib/nginx/scgi --http-uwsgi-temp-path=/var/lib/nginx/uwsgi --with-debug --with-pcre-jit --with-ipv6 --with-http_ssl_module --with-http_stub_status_module --with-http_realip_module --with-http_auth_reques
t_module --with-http_v2_module --with-http_dav_module --with-http_slice_module --with-threads --with-http_addition_module --with-http_geoip_module=dynamic --with-http_gunzip_module --with-http_gzip_static_module --with-http_image_filter_module=dynamic --with-http_sub_module --wit
h-http_xslt_module=dynamic --with-stream=dynamic --with-stream_ssl_module --with-mail=dynamic --with-mail_ssl_module --add-dynamic-module=/build/nginx-qJwWoo/nginx-1.10.3/debian/modules/nginx-auth-pam --add-dynamic-module=/build/nginx-qJwWoo/nginx-1.10.3/debian/modules/nginx-dav-
ext-module --add-dynamic-module=/build/nginx-qJwWoo/nginx-1.10.3/debian/modules/nginx-echo --add-dynamic-module=/build/nginx-qJwWoo/nginx-1.10.3/debian/modules/nginx-upstream-fair --add-dynamic-module=/build/nginx-qJwWoo/nginx-1.10.3/debian/modules/ngx_http_substitutions_filter_m
odule

這是我的配置的樣子:

server {
 listen 443 ssl default_server;
 listen [::]:443 ssl;

 server_name one.example.com;

 ssl on;
 ssl_certificate       /etc/letsencrypt/live/one.example.com/fullchain.pem;
 ssl_certificate_key   /etc/letsencrypt/live/one.example.com/privkey.pem;

 index index.html;
 root /var/www/one.example.com/site;
}

server {
 #listen 443 ssl default_server;
 listen [::]:443 ssl;

 server_name two.example.com;

 ssl on;
 ssl_certificate       /etc/letsencrypt/live/two.example.com/fullchain.pem;
 ssl_certificate_key   /etc/letsencrypt/live/two.example.com/privkey.pem;

 index index.html;
 root /var/www/two.example.com/site;
}

如果我listen 443 ssl default_server;在任一伺服器中都有該指令,它將為兩個域返回該伺服器的 SSL 證書。如果我從兩個域中刪除它,那麼我什麼也得不到——兩個伺服器域都拒絕連接。

我在這裡出了什麼問題?我只是不明白 SNI 是如何工作的嗎?我的 nginx 是在啟用 SNI 支持的情況下建構的。然而……我只獲得了為一個子域提供的 ssl 證書。

listen 443 ssl default_server;
listen [::]:443 ssl;

第一行啟用偵聽 IPv4 上的埠 443。第二行僅涵蓋 IPv6。由於您只有一個listen 443(IPv4) 配置,因此如果您使用 IPv4 連接,它就會被使用。如果您嘗試使用 IPv6 連接,則 SNI 應該會顯示預期的行為。

相反,您可能會使用預設伺服器:

 listen 443 ssl default_server;
 listen [::]:443 ssl default_server;

而對於另一台伺服器

 listen 443 ssl;
 listen [::]:443 ssl;

引用自:https://serverfault.com/questions/878037