Возможно ли настроить NGINX для работы по http и https без перезапуска?

Question

[MishaXXL]

При попытке запустить такой конфиг, есть проблема
Сперва нужно закомментировать return 301 https://$host$request_uri; до получения сертификатов
Но даже без редиректа, nginx выдает ошибку от 443 сервера, что нет сертификатов
Получается, сперва нужно запускать nginxс настройками только под http, получать сертификаты, а после уже раскомментировать 443 порт и вставлять логику редиректа

Возможно реализовать итоговую логику так, чтобы не останавливать nginxи не комментировать/раскомментировать куски кода?

upstream client {
  server client:5173;
}

server {
    listen [::]:80;
    listen 80;
    server_name $DOMAIN;

    return 301 https://$host$request_uri;

   	location / {
	      proxy_pass http://client/;
              proxy_set_header Host $host;
              proxy_set_header X-Real-IP $remote_addr;
              proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
	}

    	location /.well-known/acme-challenge {
		allow all;
    	        root /var/www/certbot/;
  	}
  
}

server {
    listen [::]:443 ssl;
    listen 443 ssl;

     server_name $DOMAIN;
 
    ssl_certificate /etc/nginx/ssl/live/dev.ru/fullchain.pem;
    ssl_certificate_key /etc/nginx/ssl/live/dev.ru/privkey.pem;
 
	location /.well-known/acme-challenge {
	      allow all;
    	      root /var/www/certbot/;
  	}
 
    location / {
	proxy_pass http://client/;
        proxy_set_header Host $host;
        proxy_set_header X-Real-IP $remote_addr;
        proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
    }
}

Comments

[Lynn «Кофеман»]

Не очень понятна проблема.
Это делается один раз в жизни сервера и больше не трогается.

Ну и return 301 прямо в серверном блоке это плохая идея.

Answer 1

[Rsa97]

server {
    listen [::]:80;
    listen 80;
    server_name $DOMAIN;

    location /.well-known/acme-challenge/ {
        allow all;
    	root /var/www/certbot/;
    }

    location / {
        return 301 https://$host$request_uri;
    }
}

Comments

[MishaXXL]

Подскажи пожалуйста, если у меня два маршрута, то мне в 80 порту достаточно оставить только корневой или нужно так же сделать два маршрута с двумя редиректами?

listen [::]:80;
listen 80;
location / {
        return 301 https://$host$request_uri;
}

А в 443 уже разделять?

listen [::]:443 ssl;
listen 443 ssl;

location / {
	proxy_pass http://client/;
        proxy_set_header Host $host;
        proxy_set_header X-Real-IP $remote_addr;
        proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
}

location /api/ {
	proxy_pass http://server/api/;
        proxy_set_header Host $host;
        proxy_set_header X-Real-IP $remote_addr;
        proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
}

И маршрут /.well-known/acme-challenge нужен только для 80 порта исключительно для инициализации сертификата и в 443 он не нужен?

location /.well-known/acme-challenge {
    allow all;
    root /var/www/certbot/;
}

[Rsa97]

MishaXXL, Для перенаправления на https достаточно одного маршрута от корня.
Челлендж используется только по http, в https он не нужен, но и ничего страшного нет, если он там будет.

[MishaXXL]

Rsa97, спасибо

[MishaXXL]

Rsa97, а как быть с тем, что пока у меня нет сертификатов?

ssl_certificate /etc/nginx/ssl/live/dev.ru/fullchain.pem;
sl_certificate_key /etc/nginx/ssl/live/dev.ru/privkey.pem;

ссылки на файлы уже стоят, но ругается, что этих файлов нет
а они только после сертбота появятся и из-за этого приходилось 443 порт закомментировать

[Rsa97]

MishaXXL, Для первого запуска либо используйте самоподписанный сертификат, либо закомментируйте https-блок. В любом случае после получения сертификата необходимо перезапускать nginx, чтобы он прочитал новые сертификаты.

Answer 2

[Александр Карабанов]

Можешь подкинуть ему самоподписанный сертификат, чтобы валидация конфига прошла и сервер запустился, потом поменяешь на настоящий сертификат.

Comments

[MishaXXL]

Самоподписанный это сертификат, который есть, но который не работает?
Т.е. у меня будут файлы, которые nginx 443 будет считать корректными, но при попытке зайти на 443 до перезаписи их, они будут просто в виде заглушки?

[Александр Карабанов]

MishaXXL, типо того, только браузер будет показывать предупреждение о том, что сертификат не валидный, тем не менее шифрование будет работать корректно. Между тем если добавить самоподписанный сертификат в доверенные то конкретно на твоей машине всё будет работать корректно, какбуд-то сертификат выдан настоящим удостоверяющим центром.

Удобно генерировать самоподписанные сертификаты с помощью mkcert

Достаточно сгенерировать один такой сертификат и его можно будет использовать, как временный на любом количестве сайтов - какая разница какой там домен ведь сертификат всё равно не валидный.

PS
Mkcert: валидные HTTPS-сертификаты для localhost

[MishaXXL]

Александр Карабанов, спасибо!

Answer 3

[AUser0]

Если так невмоготу комментировать весь блок 443, можно сделать так:

server {
#    listen [::]:443 ssl;
#    listen 443 ssl;
      listen 80;

     server_name temp.$DOMAIN;
#    ssl_certificate ...
#    ssl_certificate_key ...

Reload nginx-у, получение сертификата(ов), возвращение настроек к нормальному состоянию, опять reload, всё.

P.S. Ну и разумеется безусловный return 301 https://$host$request_uri; будет ломать всю валидацию домена по http.