ПРОЕКТЫ 


  АРХИВ 


Apache-Talk @lexa.ru 

Inet-Admins @info.east.ru 

Filmscanners @halftone.co.uk 

Security-alerts @yandex-team.ru 

nginx-ru @sysoev.ru 


  СТАТЬИ 


  ПЕРСОНАЛЬНОЕ 


  ПРОГРАММЫ 



ПИШИТЕ
ПИСЬМА












     АРХИВ :: nginx-ru
Nginx-ru mailing list archive (nginx-ru@sysoev.ru)

[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]

Re: разные SSL сертификаты для разных виртуальных серверов


  • To: nginx-ru@xxxxxxxxx
  • Subject: Re: разные SSL сертификаты для разных виртуальных серверов
  • From: "Alexey Karagodov" <karagodov@xxxxxxxxx>
  • Date: Thu, 11 Oct 2007 12:07:20 +0400
  • Dkim-signature: v=1; a=rsa-sha256; c=relaxed/relaxed; d=gmail.com; s=beta; h=domainkey-signature:received:received:message-id:date:from:to:subject:in-reply-to:mime-version:content-type:references; bh=x35SQIcFQOyGg81BZ79VFpkCUy27Zn1Agmn5BN5TJDs=; b=Cpch3p1s6MEQZko7F6MBm9VRG+l+sMxIyHxaZs1VdHZC6vgt9uJPuoFlzrNEbsi1Tdd8WJQI6Bnvsh+f64CQJBfwwP0IyMQTuUyVwYu0M21iJrmociqAwhpFcU3zuleiA5h8Tsm3kH7uqgvUtnlp1Lwn73kqsu87X+zlxYuQKE0=
  • Domainkey-signature: a=rsa-sha1; c=nofws; d=gmail.com; s=beta; h=received:message-id:date:from:to:subject:in-reply-to:mime-version:content-type:references; b=r8MmFPo4D7hVm8YXTz6y4GkH6jEHd5fXwsMAoPXTbd12Roc6Dyr0a4Bra07ggaJmB/nTWrnBd2Gp9GLD5lAmI7qd7bE+xhHCbdBw8hE0z6gnDajRUklGNnvXeYnXWG1erU+R58JwFHWMu78X3BmcBY7X/nCuiMmuaf/YV/kTLEI=
  • In-reply-to: <d5494cd50710102306n4730b14fyb40a1653ab45e889@xxxxxxxxxxxxxx>
  • References: <236744236.20071011090229@xxxxxxxxxxxxxx> <d5494cd50710102306n4730b14fyb40a1653ab45e889@xxxxxxxxxxxxxx>

я например делал один сертификат (*.трам-пам.пам) , после установленного ссл-коннекта, далее я проксирую на нужный ресурс 
внутри нгинх-а, без дальнейших извращений 
либо на разные порты/ип 
можно упростить жизнь клиентам и нгинх-ом сделай рерайт, т.е. клиент пишет что-то простенькое в запросе, а нгинх рерайтит на нужный ресурс с нужным портом и пр 

2007/10/11, Oleg Motienko <motienko@xxxxxxxxx >:
Проблема курицы и яйца.
Решения:
1) разнести виртуальные сервера по разным ip адресам или/и портам;
2) сделать единый сертификат для всех сабдоменов, точно не помню,
что-то вроде *.domain.ru

On 10/11/07, Vadim S. Khondar <sunny@xxxxxxxxxxxxxx> wrote:
> Здравствуйте!
>
> Подскажите, пожалуйста.
>
> есть конфигурация:
> http {
>
>      [skip]
>     server {
>         listen 192.168.1.1:443;
>
>         server_name tools.domain1.org.ua tools.*;
>         access_log /var/www/clients/.share/tools/logs/access.log main;
>         error_log  /var/www/clients/.share/tools /logs/error.log;
>
>         if ($http_host ~* ^tools.(.*)$) {
>             set $_lowdomain "$1";
>         }
>
>         keepalive_timeout 70;
>         ssl                  on;
>         ssl_certificate      /usr/local/etc/ssl/tools.domain1.org.ua.nginx.crt;
>         ssl_certificate_key  /usr/local/etc/ssl/tools.domain1.org.ua.nginx.key;
>
>         ssl_protocols  SSLv2 SSLv3 TLSv1;
>         ssl_ciphers  ALL:!ADH:!EXPORT56:RC4+RSA:+HIGH:+MEDIUM:+LOW:+SSLv2:+EXP;
>         ssl_prefer_server_ciphers   on;
>         ssl_session_cache    shared:SSL:10m;
>         ssl_session_timeout  10m;
>
>         location ~* ^.+\.(ico|jpg|jpeg|gif|js|png|htm|html)$ {
>             root /var/www/clients/.share/tools/webroot;
>         }
>         [skip]
>     server {
>         listen 192.168.1.1:443;
>
>         server_name domain2.biz;
>         access_log /var/www/clients/client/domains/domain2.biz/logs/saccess.log main;
>         error_log  /var/www/clients/client/domains/domain2.biz/logs/serror.log;
>
>         keepalive_timeout 70;
>         ssl                  on;
>         ssl_certificate      /usr/local/etc/ssl/www.domain2 .biz.nginx.crt;
>         ssl_certificate_key  /usr/local/etc/ssl/www.domain2.biz.nginx.key;
>
>         ssl_protocols  SSLv2 SSLv3 TLSv1;
>         ssl_ciphers  ALL:!ADH:!EXPORT56:RC4+RSA:+HIGH:+MEDIUM:+LOW:+SSLv2:+EXP ;
>         ssl_prefer_server_ciphers   on;
>         ssl_session_cache    shared:SSL:10m;
>         ssl_session_timeout  10m;
>
>         location ~* ^.+\.(ico|jpg|jpeg|gif|js|png|htm|html)$ {
>             root /var/www/clients/client/domains/domain2.biz/webroot/httpsdocs;
>         }
>
>         location / {
>             proxy_pass http://192.168.1.1:8080 /domain2.biz/httpsdocs/;
>             proxy_redirect http://domain2.biz:8080/domain2.biz/httpsdocs/ https://domain2.biz/;
>             proxy_set_header Host $host;
>             proxy_set_header X-Real-IP $remote_addr;
>             proxy_set_header X-Forwarded-For $remote_addr;
>             #client_max_body_size 10m;
>             #client_body_buffer_size 128k;
>             proxy_connect_timeout 90;
>             proxy_send_timeout 90;
>             proxy_read_timeout 90;
>             proxy_buffer_size 4k;
>             proxy_buffers 4 32k;
>             proxy_busy_buffers_size 64k;
>             proxy_temp_file_write_size 64k;
>         }
>     }
>     [skip]
> }
>
> Если заходить на domain2.biz используется сертификат для domain1 (если
> в браузере посмотреть).
> Если поменять порядок следования server'ов, то наоборот, для
> domain2.biz используется сертификат domain1.
>
> Как бы сделать, чтобы использовался для каждого свой? или для name-based
> вирт.серверов этого нельзя?
>
> nginx version: nginx/0.5.31
> configure arguments: --prefix=/usr/local/etc/nginx --with-cc-opt=-I /usr/local/include
> --with-ld-opt=-L /usr/local/lib --conf-path=/usr/local/etc /nginx/nginx.conf
> --sbin-path=/usr/local/sbin/nginx --pid-path=/var/run/nginx.pid
> --http-client-body-temp-path=/var/tmp/nginx/client_body_temp
> --http-proxy-temp-path=/var/tmp/nginx/proxy_temp
> --http-fastcgi-temp-path=/var /tmp/nginx/fastcgi_temp
> --http-log-path=/var/log/nginx-access.log --error-log-path=/var/log/nginx-error.log
> --with-http_stub_status_module --user=www --group=www --with-http_ssl_module
>
> FreeBSD 6.2-STABLE i386
>
> --
>
> Yours faithfully,
>  Vadim S. Khondar
>
> Если бы вам удалось надавать под зад человеку, виноватому в
> большинстве ваших неприятностей, вы бы неделю не смогли сидеть.
> (с) Не моё
>
>
>


--
Regards,
Oleg



 




Copyright © Lexa Software, 1996-2009.