Два домена с https на один сайт на nginx+php-fpm?

Question

[Xren]

Здравствуйте.

Есть сайт с двумя доменами для ru и для eng зоны. Движок сам разбирает контент на основе запрашиваемого домена.
Сейчас переношу сайт на nginx+php-fpm, всё отлично работает через server_name, скорость шикарна, кэширование вообще сказка. Но, встал вопрос как прикрутить к этому два сертификаты. Везде есть инфа что в конфиге прописывается только один сертификат.
Можно ли в конфиге nginx как-то прописать разные сертификаты в зависимости от запрашиваемого домена?
Что-то типо:

server_name rus.ru eng.com;
if $domen = rus.ru {
	ssl_certificate "/var/www/httpd-cert/rus.ru.crtca";
	ssl_certificate_key "/var/www/httpd-cert/rus.ru.key";
}
if $domen = eng.com {
	ssl_certificate "/var/www/httpd-cert/eng.com.crtca";
	ssl_certificate_key "/var/www/httpd-cert/eng.com.key";
}
	root /var/www/data;

Answer 1

[deepblack]

server {
    listen         *:443 ssl;
    server_name   domain1.com;
    ssl_certificate /path/to/domain1.crt;
    ssl_certificate_key /path/to/domain1.key;

    location / {
        proxy_pass http://myapp1;
        proxy_set_header Host $host;
        proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
        proxy_set_header X-Real-IP $remote_addr;
    }
}

server {
    listen         *:443 ssl;
    server_name   domain2.com;
    ssl_certificate /path/to/domain2.crt;
    ssl_certificate_key /path/to/domain2.key;
    
    location / {
        proxy_pass http://myapp1;
        proxy_set_header Host $host;
        proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
        proxy_set_header X-Real-IP $remote_addr;
    }
}

Comments

[Xren]

Т.е. сделать внутренний "server myapp1" и на него проксировать запросы с доменов? При этом имя запрашиваемого домена передавать будет?

[deepblack]

Xren, это upstream

http {
    upstream myapp1 {
        server 127.0.0.1:8080;
    }

Да, будет

Answer 2

[Lynn «Кофеман»]

Можно ли в конфиге nginx как-то прописать разные сертификаты в зависимости от запрашиваемого домена?

Уже можно.

Начиная с версии 1.15.9 в имени файла можно использовать переменные при использовании OpenSSL 1.0.2 и выше:

ssl_certificate     $ssl_server_name.crt;
ssl_certificate_key $ssl_server_name.key;

Comments

[N]

Верно, но:

Однако нужно учитывать, что при использовании переменных сертификат загружается при каждой операции SSL handshake, что может отрицательно влиять на производительность.

[Lynn «Кофеман»]

N, ну да, документацию лучше читать =)

хотя я бы вообще сделал один сертификат на оба домена и не заморачивался

[N]

Lynn «Кофеман», Да я просто для других продублировал доку :)
Чтобы сразу видно было)

[Xren]

Lynn «Кофеман», в сертификат можно впихнуть два совершенно разных домена? Про поддомены знаю а что бы два разных... У нас Let's Encrypt сертификаты, они такое явно не позволят сделать.

Пока придумал два костыля: 1) сделать два разных сервера и у одного сделать жёсткую ссылку на каталог второго. 2) прописать один root путь. Но тут может быть затык с правами.

[Lynn «Кофеман»]

Xren, хоть 10 (ну, там есть какое-то разумное ограничение)

Вот например у Яндекса

$ echo | openssl s_client -connect yandex.ru:443 | openssl x509 -noout -text | grep DNS:
depth=2 C = PL, O = Unizeto Technologies S.A., OU = Certum Certification Authority, CN = Certum Trusted Network CA
verify return:1
depth=1 C = RU, O = Yandex LLC, OU = Yandex Certification Authority, CN = Yandex CA
verify return:1
depth=0 C = RU, L = Moscow, OU = ITO, O = Yandex LLC, CN = yandex.ru
verify return:1
DONE
                DNS:yandex.ru, DNS:yandex.fr, DNS:*.yandex.aero, DNS:*.yandex.tj, DNS:yandex.lt, DNS:*.yandex.com.ru, DNS:*.yandex.by, DNS:yandex.com.ge, DNS:yandex.ua, DNS:*.xn--d1acpjx3f.xn--p1ai, DNS:*.yandex.net, DNS:*.yandex.com.ua, DNS:*.yandex.org, DNS:*.yandex.ru, DNS:*.yandex.md, DNS:*.yandex.az, DNS:*.yandex.com.am, DNS:yandex.com, DNS:*.yandex.co.il, DNS:yandex.tm, DNS:yandex.jobs, DNS:*.yandex.kz, DNS:*.yandex.com, DNS:yandex.ee, DNS:yandex.com.am, DNS:yandex.com.ua, DNS:xn--d1acpjx3f.xn--p1ai, DNS:yandex.by, DNS:yandex.net, DNS:yandex.org, DNS:*.yandex.lv, DNS:yandex.aero, DNS:yandex.uz, DNS:yandex.de, DNS:yandex.kz, DNS:yandex.lv, DNS:*.yandex.kg, DNS:*.yandex.uz, DNS:*.yandex.com.tr, DNS:yandex.tj, DNS:*.yandex.jobs, DNS:*.yandex.fr, DNS:ya.ru, DNS:yandex.co.il, DNS:yandex.com.tr, DNS:*.yandex.lt, DNS:*.yandex.tm, DNS:*.yandex.ee, DNS:yandex.com.ru, DNS:yandex.kg, DNS:*.ya.ru, DNS:*.yandex.com.ge, DNS:yandex.md, DNS:yandex.az, DNS:*.yandex.ua, DNS:*.yandex.de

[Lynn «Кофеман»]

LE без проблем выписывает сертификат на несколько доменов через DNS challenge.

Хотя кажется, на несколько доменов можно и по HTTP-01. DNS нужен только для wildcard-сертификатов.

Answer 3

[Владимир]

По идее nginx вполне себе поддерживает один сертификат на виртуал хост
Просто нужно несколько виртуалхостов создать

server {

listen 443;
server_name example.org;

root /usr/share/nginx/www;
index index.html index.htm;

ssl on;
ssl_certificate /etc/nginx/ssl/example.org/server.crt;
ssl_certificate_key /etc/nginx/ssl/example.org/server.key;
}

https://docs.nginx.com/nginx/admin-guide/web-serve...