Zadejte hledaný výraz...

NGINX – Více webů s HTTPS pomocí SNI

Martin Bárta
verified
rating uzivatele
(28 hodnocení)
29. 11. 2014 21:45:23
Zdravím,
už několik dní to řeším ale bohužel bez výsledků.
Mám na serveru (CentOS 6.5) instalovaný Nginx v této konfiguraci (nginx -V):
nginx version: nginx/1.7.7
built by gcc 4.4.7 20120313 (Red Hat 4.4.7-3) (GCC)
TLS SNI support enabled
configure arguments: --prefix=/etc/nginx --sbin-path=/usr/sbin/nginx --conf-path=/etc/nginx/nginx.conf --error-log-path=/var/log/nginx/error.log --http-log-path=/var/log/nginx/access.log --pid-path=/var/run/nginx.pid --lock-path=/var/run/nginx.lock --http-client-body-temp-path=/var/cache/nginx/client_temp --http-proxy-temp-path=/var/cache/nginx/proxy_temp --http-fastcgi-temp-path=/var/cache/nginx/fastcgi_temp --http-uwsgi-temp-path=/var/cache/nginx/uwsgi_temp --http-scgi-temp-path=/var/cache/nginx/scgi_temp --user=nginx --group=nginx --with-http_ssl_module --with-http_realip_module --with-http_addition_module --with-http_sub_module --with-http_dav_module --with-http_flv_module --with-http_mp4_module --with-http_gunzip_module --with-http_gzip_static_module --with-http_random_index_module --with-http_secure_link_module --with-http_stub_status_module --with-http_auth_request_module --with-mail --with-mail_ssl_module --with-file-aio --with-ipv6 --with-http_spdy_module --with-cc-opt='-O2 -g -pipe -Wp,-D_FORTIFY_SOURCE=2 -fexceptions -fstack-protector --param=ssp-buffer-size=4 -m64 -mtune=generic'
Podle těchto informací mám v pohodě podporu TLS SNI a mělo by tak být možné na jedné IP adrese v pořádku hostovat několik webů na HTTPS (ostatně na Apache s tím problém nemám).
Tady je ještě pro jistotu konfigurák jednoho z webů.
server {
listen 80;
listen :80;
server_name xxxxxx;
return 301 https://$server_name$request_uri;
}
server {
listen 443 ssl spdy;
listen :443 ssl spdy;
server_name xxxxxx;
ssl on;
ssl_certificate /var/www/ssl/xxxxxx/nginx_ServerCertificate.crt;
ssl_certificate_key /var/www/ssl/xxxxxx/xxxxxx.key;
ssl_session_cache shared:SSL:1m;
ssl_session_timeout 5m;
ssl_ciphers HIGH:!aNULL:!MD5;
ssl_prefer_server_ciphers on;
location / {
root /usr/share/nginx/html/xxxxxx;
index index.php index.html index.htm;
}
location ~ .php$ {
root /usr/share/nginx/html/xxxxxx;
fastcgi_pass 127.0.0.1:9000;
fastcgi_index index.php;
fastcgi_param SCRIPT_FILENAME /usr/share/nginx/html/xxxxxx$fastcgi_script_name;
include fastcgi_params;
}
}
Bohužel ale stále pouze jeden z těch webů je prohlížečem brán jako důvěryhodný a ostatní označeny jako nedůvěryhodné (předpokládám, že to ten první z konfigurace vybere jako ten který má vše v pohodě s IP a tedy jako standardní konfiguraci pro jeden web).
Nemáte s tímto zkušenost popřípadě radu na co se zaměřit? Už jsem docela bezmocný.
Díky za každou radu.
29. 11. 2014 21:45:23
https://webtrh.cz/diskuse/nginx-vice-webu-s-https-pomoci-sni/#reply1072646
Petr Soukup
verified
rating uzivatele
(5 hodnocení)
29. 11. 2014 22:43:31
SNI v nginx funguje defaultně a není potřeba nic zapínat. Jaká je adresa těch webů?
Hodně může také pomoct tento test: https://www.ssllabs.com/ssltest/
Možná taky ještě zkontrolovat verzi openssl, ale bez aktuálního by asi nginx ani nešel nainstalovat.
29. 11. 2014 22:43:31
https://webtrh.cz/diskuse/nginx-vice-webu-s-https-pomoci-sni/#reply1072645
Václav Dušek
verified
rating uzivatele
(78 hodnocení)
30. 11. 2014 01:00:37
JE tam každý web se svým certifikátem a svým konfiguračním blokem?
30. 11. 2014 01:00:37
https://webtrh.cz/diskuse/nginx-vice-webu-s-https-pomoci-sni/#reply1072644
Pro odpověď se přihlašte.
Přihlásit