nginx ssl-заглушка

nginx ssl https

0

2

Добрый день. Прошу помощи в следующем вопросе. nginx работает как frontend к apache. на сервере есть несколько сайтов, для которых настроена поддержка ssl. nginx.conf:

server {
     listen 80;
         listen 443 ssl;
     ssl    on;
         ssl_certificate         /etc/ssl/certs/domain_name.crt;
         ssl_certificate_key     /etc/ssl/private/domain_name.key;
         server_name domain_name www.domain_name;

if ( $scheme = "http" ) {
              rewrite ^/(.*)$   https://$host/$1 permanent;
        }
         access_log /var/www/html/domain_name/access.log;
     error_log /var/www/html/domain_name/error.log;
         root /var/www/html/domain_name;
location / {
proxy_pass http://127.0.0.1:8080/;
}
}

Для 80 порта есть заглушка nginx.conf:

server {
      listen 80 default;
      server_name localhost;
       deny all;
}

Но, если попытаться зайти по https на другие сайты сервера(не ssl), то браузер получает сертификат сервера по умолчанию, т.е. первого ssl-сайта в конфиге, независимо от запрашиваемого имени сервера и перенаправляет на apache. Подскажите, как сделать заглушку аналогичную 80 порту.

Ссылка

←	httpd-itk iowait

Есть ли какие-либо способы управления маршрутом сетевого пакета в глобальной сети?

→

На каждый виртуалхост нужно делать свой server, и естественно слушать их надо заставлять не просто 443, а имя_сервера:443, и про server_name тоже не забывать.

pekmop1024 ★★★★★
(29.04.13 14:21:04 MSK)
Последнее исправление: pekmop1024 29.04.13 14:23:30 MSK (всего исправлений: 2)

Ответ на: комментарий от pekmop1024 29.04.13 14:21:04 MSK

так так и работает, я просто не весь конфиг приводил

server {
     listen 80;
         listen 443 ssl;
     ssl    on;
         ssl_certificate         /etc/ssl/certs/domain2_name.crt;
         ssl_certificate_key     /etc/ssl/private/domain2_name.key;
         server_name domain2_name www.domain2_name;

if ( $scheme = "http" ) {
              rewrite ^/(.*)$   https://$host/$1 permanent;
        }
         access_log /var/www/html/domain_name2/access.log;
     error_log /var/www/html/domain_name2/error.log;
         root /var/www/html/domain2_name;
location / {
proxy_pass http://127.0.0.1:8080/;
}
}

Попробовал добавить server_name_domain*:443 ssl. Все равно при попытке зайти по https на другие не ssl-сайты предлагает domain_name сертификат и перенаправляет.

vinner
(29.04.13 14:49:48 MSK) автор топика

Ссылка

У тебя для других виртхостов прописаны другие сертификаты?

true_admin ★★★★★
(29.04.13 17:36:56 MSK)

Ссылка

Убедись ещё что nginx поддерживает server name indication:

nginx -V 2>&1| grep SNI

true_admin ★★★★★
(29.04.13 17:39:37 MSK)

Ответ на: комментарий от true_admin 29.04.13 17:39:37 MSK

TLS SNI support enabled. Да, для другого домена - другой сертификат. Но меня больше волнует, что nginx даже по https:/ip-сервера устанавливает соединение с первым виртуальным хостом apache.

vinner
(29.04.13 17:57:07 MSK) автор топика

Ответ на: комментарий от vinner 29.04.13 17:57:07 MSK

nginx даже по https:/ip-сервера устанавливает соединение с первым виртуальным хостом apache.

так настрой :). В nginx у listen есть default. Посмотри что при этом передаётся апачу. Если там не будет заголовка Host то просто поставь нужный виртхост первым. Ну или почитай доки, может там уже появилась директива для этого

true_admin ★★★★★
(29.04.13 18:15:03 MSK)

Ответ на: комментарий от true_admin 29.04.13 18:15:03 MSK

Пробовал так:

server {
      listen 80 default_server;
      listen 443 default_server;
      server_name _;
       deny all;
}

- 80 заглушка работает, 443 - нет. если сказать server_name localhost - сервер не устанавливает соединение.

vinner
(29.04.13 18:27:41 MSK) автор топика

Есть подозрение, что «аналогичную 80му порту» не получится. Чтобы вернуть 403 forbidden, nginx сперва должен защитить соединение при помощи TLS, и передать 403 уже в защищенном виде. А чтобы защитить соединение, нужен сертификат. Таким образом, по идее, nginx должен всегда предлагать сертификат. Вопрос только в том, что это будет за сертификат (и тут на сцену выходит тот самый, не нужный тебе в данном случае, SNI).
Фиг его знает, может быть, если объявить дефолтный сервер слушающий 443 порт и отключить на нем ssl, то ты сможешь получить при попытке коннекта ошибку браузера. Но ценность этого нулевая.

thesis ★★★★★
(29.04.13 18:34:00 MSK)

Ссылка

Ответ на: комментарий от vinner 29.04.13 18:27:41 MSK

443 - нет

в каком смысле «нет»? Он апачу что при этом передаёт?

true_admin ★★★★★
(29.04.13 21:56:06 MSK)

Ссылка

Ответ на: комментарий от vinner 29.04.13 18:27:41 MSK

версия nginx какая?

http://nginx.org/ru/docs/http/ngx_http_core_module.html#listen : «До версии 0.8.21 этот параметр назывался просто default»

попробуй

server {
  listen 80 default;
  listen 443 default ssl;
  ssl_certificate         /etc/ssl/certs/default.crt;
  ssl_certificate_key     /etc/ssl/private/default.key;
  
  deny all;
}

gorilych ★★
(30.04.13 07:53:59 MSK)

Ответ на: комментарий от gorilych 30.04.13 07:53:59 MSK

Версия nginx version: nginx/1.0.15. Что касается попытки подключиться по 443: подключаюсь по https://ip; nginx отдает сертификат по умолчанию, после подтверждения в браузере, apache получает запросы по http и отдает сайт по умолчанию. Я конечно сделал заглушку в самом apache, но как-то хотелось бы, чтобы nginx не отдавал сертификат для сайтов, которые не используют ssl.

vinner
(30.04.13 10:52:26 MSK) автор топика

Ответ на: комментарий от vinner 30.04.13 10:52:26 MSK

nginx не отдавал сертификат для сайтов, которые не используют ssl

То есть? SSL соединение не может быть без сертификата.

Если подразумевается HTTPS для одного в.хоста на 443 порту, но HTTP для другого - то это невозможно. SSL включается на уровне IP:port а не на уровне в. хоста.

gorilych ★★
(06.05.13 14:31:38 MSK)

Ссылка

Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.

←	httpd-itk iowait

Admin

Есть ли какие-либо способы управления маршрутом сетевого пакета в глобальной сети?

→

Похожие темы