ПРОЕКТЫ 

  АРХИВ 

Apache-Talk @lexa.ru 

Inet-Admins @info.east.ru 

Filmscanners @halftone.co.uk 

Security-alerts @yandex-team.ru 

nginx-ru @sysoev.ru 

  СТАТЬИ 

  ПЕРСОНАЛЬНОЕ 

  ПРОГРАММЫ 

ПИШИТЕ
ПИСЬМА












     АРХИВ :: nginx-ru
Nginx-ru mailing list archive (nginx-ru@sysoev.ru)
[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]

Re: Сервер по-умолчанию для конкретного домена

  • To: nginx-ru <nginx-ru@xxxxxxxxx>
  • Subject: Re: Сервер по-умолчанию для конкретного домена
  • From: Никита Кардашин <megalin2@xxxxxxxxx>
  • Date: Fri, 1 Nov 2013 18:07:53 +0600
  • Dkim-signature: v=1; a=rsa-sha256; c=relaxed/relaxed; d=gmail.com; s=20120113; h=mime-version:in-reply-to:references:date:message-id:subject:from:to :content-type; bh=clfNO7v/85w1UhzvGkCGN01rVOwb3L2a03G8KLaMe70=; b=Qkipa9fyupTqjzFsaOSfS0kk5v2lCmMlT/1xnxgyh33qG55UigG1TWa7muX18SOy35 7PC98NXvradHXKxLerWaVHrjgMBuhy8wLj0v7hgBlXCvn2ouqoClO69ANiJIByXDy8tm 0Xjig82mW2cpazSaO5l2WxC/rkQN/QXkIxEYxCYo3Dl8DP8cH8g5+xrJ/TwH+wbuOafl UZya7wIxA4sXdmXV3jlcI3x8p/tewcpNsSFL4FqIT6oSyKFUztrWO/gP9N7jrFJ2faRZ uOGeDhLDjDupR3EmX0JtFk2YTw+fChQ8Qv0O8sZpx51UcJBF0OCVDZIrllFkUlNS0WD7 ieBQ==
  • In-reply-to: <52737F15.4040007@skubriev.ru>
  • References: <CALA_TQhyWLAq9e53cBBLPmFuYxYFLNDDDhZcxrFNgOCJ30Kk0g@mail.gmail.com> <C4558175-1E2B-40EB-911E-F0004F34524A@sysoev.ru> <CALA_TQjWBCAd78CsNgk=X_kVU1QKZ6CUkcVuDhJ=nj2KWq=t0A@mail.gmail.com> <52737F15.4040007@skubriev.ru>
Не смог найти в документации, как мне в _одном_ server{} настроить более 1 сертификата (SNI). Это возможно?


1 ноября 2013 г., 16:14 пользователь Vladimir Skubriev <vladimir@xxxxxxxxxxx> написал:
01.11.2013 14:07, Никита Кардашин пишет:
Так, я, видимо, не очень правильно описал проблему. Попробую еще раз:

- Есть домены:
domain1.tld
domain2.tld
domain3.tld

Сами главные домены хостятся где-то в другом, отличном от нашего сервера, месте. Для каждого из них есть wildcard SSL-сертификат.

На нашем сервере хостятся приложения, доступные по поддоменам этих доменов (app1.domain2.tld, app10.domain3.tld, etc). Для каждого приложения создан конфиг в sites-enabled с описанием сервера (где задается и нужный SSL-сертификат, в зависимости от того, в каком домене находится приложение). Доступны они только по SSL (по сертификату *.domain.tld). Но иногда приложения удаляются, а ссылки на них где-то живут. 

Мне нужно каким-то образом реализовать возможность редиректить все запросы к адресам а-ля https://appX.domainX.tld/, в случае, если приложение уже не существует (т.е. сервер appX.domainX.tld не описан в конфиге nginx).

Пока домен был один - я эту проблему решал просто, определил в конфиге один сервер с признаком default и там уже в location / осуществлял редирект на нужный сайт. Все прекрасно работало.

А теперь сайтов стало три. В описании default-сервера я могу задать только одну пару сертификат:ключ, соответственно, те, кто придет по appX.domainX.tld (в случае, если домен отличается от того, чей сертификат прописан) в default-сервер получат в браузере ошибку (и не получат редирект).

Прописать для каждого из доменов сервер с server_name *.domainX.tld я тоже не могу, т.к. тогда туда пойдут не только запросы к несуществующим приложениям, а вообще ВСЕ запросы (т.е. в приложение никто не попадет).

Т.е. проблема моя не в том, что мне нужно иметь несколько SSL-сервисов на одном IP (это-то прекрасно работает, тут проблем нет), а в том, что мне нужно каким-то образом иметь несколько default-серверов с поддержкой SSL (либо иметь возможность задавать приоритеты серверам, чтобы запрос всегда попадал в более точный сервер (appX.domainX.tld), а не в wildcard *.domainX.tld).

Как мне из этой ситуации выйти?
Из документации

Более общее решение для работы нескольких HTTPS-серверов на одном IP-адресе — расширение Server Name Indication протокола TLS (SNI, RFC 6066), которое позволяет браузеру передать запрашиваемое имя сервера во время SSL handshake, а значит сервер будет знать, какой сертификат ему следует использовать для соединения. Однако, поддержка SNI браузерами ограничена. Сейчас это поддерживается браузерами начиная со следующих версий:

Другим способом является использование wildcard-сертификата, например *.example.org. Такой сертификат защищает все поддомены указанного домена, но только на заданном уровне. Под такой сертификат подходит www.example.org, но не подходят example.org и www.sub.example.org. Два вышеуказанных способа можно комбинировать. Сертификат может одновременно содержать и точное, и wildcard имена в поле SubjectAltName, например example.org и *.example.org.
Боюсь что это не может быть, т.к. не могу все клиенты поддерживать SNI.



-- 
С Уважением,
специалист по техническому и программному обеспечению,
системный администратор

Скубриев Владимир
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Россия, Ростовская область, г. Таганрог

тел. моб: +7 (918) 504 38 20
skype: v.skubriev
icq: 214-800-502
www: skubriev.ru

_______________________________________________
nginx-ru mailing list
nginx-ru@xxxxxxxxx
http://mailman.nginx.org/mailman/listinfo/nginx-ru



--
With best regards,
differentlocal (www.differentlocal.ru | differentlocal@xxxxxxxxx),
System administrator. 
_______________________________________________
nginx-ru mailing list
nginx-ru@xxxxxxxxx
http://mailman.nginx.org/mailman/listinfo/nginx-ru

 



Copyright © Lexa Software, 1996-2009.