Как настроить nginx для нескольких адресов и доменов?

Question

[WSGlebKavash]

У сервера есть несколько ip-адресов и доменов, с которыми он может работать. Как настроить nginx так, чтоб для каждого адреса или домена он отдавал свой tls-сертификат?

текущий конфиг:

server {
              listen *:80;
              # listen 443 http3 reuseport;
              listen *:443 ssl;

              root /var/www/trainzcity.myftp.org/html;
              index index.html index.htm index.nginx-debian.html;

              server_name trainzcity.myftp.org;

              ssl_certificate     /etc/nginx/certs/0001_chain.pem;
              ssl_certificate_key /etc/nginx/certs/key-384r1.key;
              ssl_protocols       TLSv1.3;


              location / {
                   try_files $uri $uri/ =404;
              }
        }
        server {
              listen *:80;
              # listen 443 http3 reuseport;
              listen *:443 ssl;

              root /var/www/trainzcity.myftp.org/html;
              index index.html index.htm index.nginx-debian.html;

              server_name nix-adserver nix-adserver.trainzcity.myftp.org;

              ssl_certificate     /path/to/pki/nix-adserver.trainzcity.myftp.org.crt;
              ssl_certificate_key /path/to/pki/nix-adserver.trainzcity.myftp.org.key;
              ssl_protocols       TLSv1.3;


              location / {
                     try_files $uri $uri/ =404;
              }
        }
        server {
              listen 80;
              # listen 192.168.10.2:443 http3 reuseport;
              listen 443 ssl;

              root /var/www/trainzcity.myftp.org/html;
              index index.html index.htm index.nginx-debian.html;

              server_name 192.168.10.2;

              ssl_certificate     /path/to/pki/trainzcity.myftp.org.crt;
              ssl_certificate_key /path/to/pki/trainzcity.myftp.org.key;
              ssl_protocols       TLSv1.3;


              location / {
                     try_files $uri $uri/ =404;
              }
        }
        server {
               listen *:80;
               # listen 443 http3 reuseport;
               listen *:443 ssl;

               root /var/www/trainzcity.myftp.org/html;
               index index.html index.htm index.nginx-debian.html;

               server_name 1.1.1.1;

               ssl_certificate     /path/to/pki/rainzcity.myftp.org.crt;
               ssl_certificate_key /path/to/pki/trainzcity.myftp.org.key;
               ssl_protocols       TLSv1.3;


               location / {
                       try_files $uri $uri/ =404;
               }
        }

Пояснения:

nix-adserver - короткое (NetBIOS) имя сервера
nix-adserver.trainzcity.myftp.org - полное доменное имя сервера
trainzcity.myftp.org - внешнее доменное имя сервера, доступное из интернета
192.168.10.2 - внутренний IP-адрес сервера, маршрутизирующийся в локальной сети
1.1.1.1 - внешний IP-адрес сервера, маршрутизирующийся в интернете

Comments

[キム ファイブプラス]

Вероятно открыть документацию и взять оттуда готовый пример.

[Drno]

так вроде все указано
указывается нужный server name
и путь к сертификату

[Виктор Таран]

Ипатий Коловрат, мои глазки утекли
я даже не знаю че вам сказать.
ну дамаю переделать все это вообще, такйо вариант вас устроит ?

В ваших конфигах нет ни 1 правильной строчки.

Вот стартовый вариант

Выносим каждый домен в отдельный сайт, у вас и так каша вы ее еще мешаете в 1 файле.
выносим каждый домен в отдельный файл домен.conf

server {
              listen *:80;
              server_name домен;
              ...
        }
    
server {
              listen 443 ssl;
              server_name домен;
              ssl_certificate     /path/to/pki/домен1.crt;
              ssl_certificate_key /path/to/pki/домен1.key;
              ssl_protocols       TLSv1.3;
              ...
        }

Создаем еще один файл конфига

server {
              listen *:80;
              server_name домен2;
              ...
        }
    

server {
              listen 443 ssl;
              server_name домен2;
              ssl_certificate     /path/to/pki/домен2.crt;
              ssl_certificate_key /path/to/pki/домен2.key;
              ssl_protocols       TLSv1.3;
              ...
        }

Обрати внимание ключей на 80 порту нет ключей !
Даже для одного домена https и http трафик можно разделить на разные файлы что то типа
site.ru_ssl.conf
и
site.ru.conf

но это уже отдельная история можно и в одном файле,
но худобы разделите по названию доменов конфиги.

[WSGlebKavash]

Виктор Таран,

ну дамаю переделать все это вообще, такйо вариант вас устроит ?

Так это временный сервер. Он нужен для работы проекта, пока его не перенесут на хостинг. Потом будет другой дистрибутив Linux, nginx будет обслуживать веб-морду почты и тогда всё будет настроено как положено.
А пока как сделать, чтоб это работало? Доменные имена он определяет, а IP-адреса нет.

[Александр Карабанов]

Виктор Таран,

В ваших конфигах нет ни 1 правильной строчки.

Ды нет. Вполне правильные строчки. Указывать несколько listen в рамках одного server можно (а порой даже бывает нужно). Использовать IP в качестве server_name тоже никто не запрещает.

Он не угадал только на счёт сертификатов. Он подумал, что можно без проблем сделать сертификат для IP но нет, а так же, что для домена nix-adserver подойдёт сертификат от домена nix-adserver.trainzcity.myftp.org (в прочем такое сделать возможно).

[Виктор Таран]

Указывать несколько listen в рамках одного server можно (а порой даже бывает нужно)

Можно кейс где "нужно"?

[Александр Карабанов]

Виктор Таран, открой официальную документацию про настройку SSL, там как раз этот пример с двумя listen описан.

А лично мне это нужно для доступа к серверу с балансировщика. У меня там аж три listen на разных интерфейсах.

[WSGlebKavash]

Виктор Таран, Спустя несколько часов оно заработало.
Спасибо за рекомендации и помощь.

[osada]

WSGlebKavash,

А можете показать тут рабочий конфиг?

[WSGlebKavash]

osada,

Вот:

server {
               listen *:80;
               # listen 443 http3 reuseport;
               listen *:443 ssl;

               root /var/www/trainzcity.myftp.org/html;
               index index.html index.htm index.nginx-debian.html;

               server_name 1.1.1.1;

               ssl_certificate     /path/to/pki/rainzcity.myftp.org.crt;
               ssl_certificate_key /path/to/pki/trainzcity.myftp.org.key;
               ssl_protocols       TLSv1.3;


               location / {
                       try_files $uri $uri/ =404;
               }
server {
              listen *:80;
              # listen 443 http3 reuseport;
              listen *:443 ssl;

              root /var/www/trainzcity.myftp.org/html;
              index index.html index.htm index.nginx-debian.html;

              server_name trainzcity.myftp.org;

              ssl_certificate     /etc/nginx/certs/0001_chain.pem;
              ssl_certificate_key /etc/nginx/certs/key-384r1.key;
              ssl_protocols       TLSv1.3;


              location / {
                   try_files $uri $uri/ =404;
              }
        }
        server {
              listen *:80;
              # listen 443 http3 reuseport;
              listen *:443 ssl;

              root /var/www/trainzcity.myftp.org/html;
              index index.html index.htm index.nginx-debian.html;

              server_name nix-adserver nix-adserver.trainzcity.myftp.org;

              ssl_certificate     /path/to/pki/nix-adserver.trainzcity.myftp.org.crt;
              ssl_certificate_key /path/to/pki/nix-adserver.trainzcity.myftp.org.key;
              ssl_protocols       TLSv1.3;


              location / {
                     try_files $uri $uri/ =404;
              }
        }
        server {
              listen 80;
              # listen 192.168.10.2:443 http3 reuseport;
              listen 443 ssl;

              root /var/www/trainzcity.myftp.org/html;
              index index.html index.htm index.nginx-debian.html;

              server_name 192.168.10.2;

              ssl_certificate     /path/to/pki/trainzcity.myftp.org.crt;
              ssl_certificate_key /path/to/pki/trainzcity.myftp.org.key;
              ssl_protocols       TLSv1.3;


              location / {
                     try_files $uri $uri/ =404;
              }
        }
        }

Я поменял местами директивы server { ... } и это каким-то образом помогло.

[osada]

WSGlebKavash, спасибо.

Answer 1

[Александр Карабанов]

Такого будет достаточно:

server {
      listen 80;
      # listen 443 http3 reuseport;
      listen 443 ssl;

      root /var/www/trainzcity.myftp.org/html;
      index index.html index.htm index.nginx-debian.html;

      server_name trainzcity.myftp.org;

      ssl_certificate     /etc/nginx/certs/0001_chain.pem;
      ssl_certificate_key /etc/nginx/certs/key-384r1.key;
      ssl_protocols       TLSv1.3;


      location / {
           try_files $uri $uri/ =404;
      }
}

server {
      listen 80;
      # listen 443 http3 reuseport;
      listen 443 ssl;

      root /var/www/trainzcity.myftp.org/html;
      index index.html index.htm index.nginx-debian.html;

      server_name nix-adserver.trainzcity.myftp.org;

      ssl_certificate     /path/to/pki/nix-adserver.trainzcity.myftp.org.crt;
      ssl_certificate_key /path/to/pki/nix-adserver.trainzcity.myftp.org.key;
      ssl_protocols       TLSv1.3;

      location / {
             try_files $uri $uri/ =404;
      }
}

Нет смысла копировать конифиги для отдельных IP. Директивы listen 80 и listen 443 ssl и так позволяют Nginx слушать на всех интерфейсах.

На самом деле достаточно вообще одной секции сервер, не понятно зачем тебе это внутреннее имя. Если подробнее опишешь какую цель преследуешь могу дополнить конфиг.

Comments

[WSGlebKavash]

Александр Карабанов,

На самом деле достаточно вообще одной секции сервер, не понятно зачем тебе это внутреннее имя.

Из интернета идёт подключение по внешнему сертификату, общедоверенному. Во внутренней сети идёт подключение по сертификату, выданному Enterprice CA, которому доверяют только члены домена и "специальные ПК". Плюс иногда идёт подключение без домена, и для таких случаев есть сертификат.
Если хотите, могу прислать сертификаты.
Как такое реализовать?

[Александр Карабанов]

WSGlebKavash, таким образом твоя конфигурация верна - действительно придётся сделать несколько секций server { ... } c разными server_name и использовать разные сертификаты.

Проблемы точно возникнут, но не с Nginx, а с некоторыми браузерами, которые не будут доверять сертификату если он выдан для IP, с сертификатами выданными на имя проблем быть не должно (если они валидные, конечно).

Опиши, что именно не работает на данный момент.

[WSGlebKavash]

Александр Карабанов, Сертификаты! Приватные ключи у меня.

Опиши, что именно не работает на данный момент.

Для домена trainzcity.myftp.org выдаётся правильный сертификат. Для nix-adserver и nix-adserver.trainzcity.myftp.org выдаётся правильный сертификат. А вот IP-адреса он игнорирует и сертификат не правильный.

Как донастроить корректную работу?

[Александр Карабанов]

WSGlebKavash, а тебе удалось выпустить сертификат у которого в качестве CN указан IP?

А сертификат неправильный только в браузерах или если curl-ом или с помощью openssl проверять тоже?

А сертификат точно добавлен в хранилище доверенных сертификатов на той машине, с которой ты проверяешь?

[WSGlebKavash]

Александр Карабанов,

а тебе удалось выпустить сертификат у которого в качестве CN указан IP?

IP указан в качестве специального аттрибута SAN (subjectAltName).

А сертификат неправильный только в браузерах или если curl-ом или с помощью openssl проверять тоже?

Везде nginx отсылает некоректный сертификат. В результате браузеры заявляют он неверном CN, с доверием всё хорошо.

[Александр Карабанов]

WSGlebKavash, попробуй указать в качестве CN именно IP.

А почему нужен именно IP? Есть какой-то клиент, который не умеет резолвить имена?

[WSGlebKavash]

Александр Карабанов,

Есть какой-то клиент, который не умеет резолвить имена?

Есть подсеть, которую DNS-сервер не может обслуживать. Там подключение выполняется или по средствам файла hosts, или напрямую чере IP-адреса.

[Александр Карабанов]

WSGlebKavash, штош. Надо попробовать выпустить сертификат у которого будет IP в качестве CN.

Nginx настроен правильно, тут дело в браузерах и их доверии к таким особенным сертификатам.

[WSGlebKavash]

Александр Карабанов, Я поменял местами секции server { ... } и вроде всё заработало.
Надеюсь, схема проживёт до конца службы сервера.

Большое спасибо за помощь, ответ и поддержку.