nginx используется как прокси-сервер по отдаче статики, для одного из
виртуальных серверов хочется использовать ssl как доп. способ уберечь
улетающие данные от перехвата.
1) Собираю nginx 0.5.10 с --with-http_ssl_module
2) Создаю сертификат
openssl req -new -x509 -newkey rsa:1024 -days 365 -keyout /tmp/nginx.pem
-out /etc/nginx/cert.key
подписываю
openssl rsa -in /tmp/nginx.pem -out /etc/nginx/cert.pem
3) конфиг
server {
listen домен.ru:443;
keepalive_timeout 70;
ssl on;
ssl_certificate /etc/nginx/cert.pem;
ssl_certificate_key /etc/nginx/cert.key;
ssl_session_cache shared:SSL:10m;
ssl_session_timeout 10m;
location / {
proxy_pass http://домен.ru:81/;
proxy_set_header Host $host;
proxy_set_header X-Real-IP $remote_addr;
proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
}
.. левая фигня
}
после перезапуска nginx забинден на 443
но не пашет в браузере http://домен :(
пробую понять причину
4) curl -I https://домен
curl: (35) error:140770FC:SSL routines:SSL23_GET_SERVER_HELLO:unknown
protocol
запрашиваю сертификат
openssl s_client -connect домен.ru:443 -showcerts
ругается
CONNECTED(00000004)
8297:error:140770FC:SSL routines:SSL23_GET_SERVER_HELLO:unknown
protocol:s23_clnt.c:478:
что судя по гуглу не может подключить сертификат, что делаю не так?
Есть что-нибудь в error_log ?
p.s. апачевский не хочу использовать модуль, зачем апач если nginx умеет
то-же самое.
p.p.s. Абстрактный вопрос, стоит-ли покупать у goddady Turbo SSL
сертификат за 17$, или это все от лукавого? Или стоит того чтобы не
ругались браузеры и почтовые клиенты на самоподписанный?
Зависит от того, критично, чтобы ругались, или нет.
На webmoney, например, браузеры ругаются, но люди пользуются.
Игорь Сысоев
http://sysoev.ru