Путаются сертификаты между доменами в NGINX, что делать?

Question

Cyber-Man @Cyber-Man

Путаются сертификаты между доменами в NGINX, что делать?

Приветствую!

В последнее время происходят непонятки с SSL и NGINX: происходит путаница сертификатов между собой. На сервере много доменов (500+). Если раньше показывало, что сертификат не от того домена (допустим, зайдя на test.ru выдавало, что сертификат принадлежит test1.ru) и методом удаления сертификата test1.ru всё решалось, то сейчас всё зашло совсем в тупик, выдает: "Ошибка при установлении защищённого соединения." без каких-либо дополнительных сведений.

Синтаксис нормальный (nginx -t), визуально тоже пробегаюсь - всё ок (хотя могу что-то упустить с таким объемом). Подскажите пожалуйста, в какую сторону копать. Спасибо.

Вопрос задан более трёх лет назад
393 просмотра

2 комментария

Подписаться 2 Оценить 2 комментария

Пригласить эксперта

Ответы на вопрос 2

2 комментария

Cyber-Man @Cyber-Man Автор вопроса

server {
server_name s1.com www.s1.com;
listen 1.1.1.1;
listen 1.1.1.1:443 ssl;
disable_symlinks if_not_owner from=$root_path;
set $root_path /var/www/red/data/www/s1.com;
location ~* ^.+\.(jpg|jpeg|gif|png|svg|js|css|mp3|ogg|mpe?g|avi|zip|gz|bz2?|rar|swf)$ {
root $root_path;
access_log /var/www/nginx-logs/red isp;
access_log /var/www/httpd-logs/s1.access.log ;
error_page 404 = @fallback;
}
location / {
proxy_pass http://1.1.1.1:81;
proxy_redirect 1.1.1.1:81 /;
proxy_set_header Host $host;
proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
proxy_set_header X-Forwarded-Proto $scheme;
proxy_set_header X-Real-IP $remote_addr;
}
location ~* ^/(webstat|awstats|webmail|myadmin|pgadmin)/ {
proxy_pass http://1.1.1.1:81;
proxy_redirect 1.1.1.1:81 /;
proxy_set_header Host $host;
proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
proxy_set_header X-Forwarded-Proto $scheme;
proxy_set_header X-Real-IP $remote_addr;
}
location @fallback {
proxy_pass http://1.1.1.1:81;
proxy_set_header Host $host;
proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
proxy_set_header X-Forwarded-Proto $scheme;
proxy_set_header X-Real-IP $remote_addr;
}
limit_conn red 200;
ssl_certificate /var/www/httpd-cert/s1.crt;
ssl_certificate_key /var/www/httpd-cert/redco124/s1.key;
}

Общий конфиг:

user apache;
pid /var/run/nginx.pid;
worker_processes 6;
error_log /var/log/nginx/error.log;
#error_log /var/log/nginx/error.log notice;
#error_log /var/log/nginx/error.log info;

timer_resolution 500ms;
worker_rlimit_nofile 200000;
worker_priority -3;

events {
use epoll;
worker_connections 1000;
multi_accept on;
}

http {
#limit_req_zone $binary_remote_addr zone=one:5m rate=250r/s;
#limit_req zone=one burst=50;

limit_conn_zone $binary_remote_addr zone=perip:10m;
limit_conn perip 25;

#limit_rate 196K;
#limit_rate_after 50m;

resolver_timeout 5s;
send_timeout 30s;

server_names_hash_max_size 16384;

ssl_protocols TLSv1 TLSv1.1 TLSv1.2;
include /etc/nginx/rules/cloudflare.conf;

open_file_cache max=1000 inactive=100s;
open_file_cache_valid 200s;
open_file_cache_min_uses 2;
open_file_cache_errors on;
include /etc/nginx/mime.types;
default_type application/octet-stream;

log_format main '$remote_addr - $remote_user [$time_local] "$request" '
'$status $body_bytes_sent "$http_referer" '
'"$http_user_agent" "$http_x_forwarded_for"';

access_log /var/log/nginx/access.log main;

sendfile on;
tcp_nopush on;
tcp_nodelay on;
keepalive_requests 30;
proxy_read_timeout 300;
reset_timedout_connection on;
limit_rate_after 400m;
limit_rate 196k;

keepalive_timeout 30;

Написано более трёх лет назад
Cyber-Man @Cyber-Man Автор вопроса

nginx -T ничего нового не сказал

Написано более трёх лет назад

1 комментарий

Cyber-Man @Cyber-Man Автор вопроса

Строка имеется:

[root@s1 ~]# nginx -V
nginx version: nginx/1.10.0
built by gcc 4.4.7 20120313 (Red Hat 4.4.7-16) (GCC)
built with OpenSSL 1.0.1e-fips 11 Feb 2013
TLS SNI support enabled
configure arguments: --prefix=/etc/nginx --sbin-path=/usr/sbin/nginx --modules-path=/usr/lib64/nginx/modules --conf-path=/etc/nginx/nginx.conf --error-log-path=/var/log/nginx/error.log --http-log-path=/var/log/nginx/access.log --pid-path=/var/run/nginx.pid --lock-path=/var/run/nginx.lock --http-client-body-temp-path=/var/cache/nginx/client_temp --http-proxy-temp-path=/var/cache/nginx/proxy_temp --http-fastcgi-temp-path=/var/cache/nginx/fastcgi_temp --http-uwsgi-temp-path=/var/cache/nginx/uwsgi_temp --http-scgi-temp-path=/var/cache/nginx/scgi_temp --user=nginx --group=nginx --with-http_ssl_module --with-http_realip_module --with-http_addition_module --with-http_sub_module --with-http_dav_module --with-http_flv_module --with-http_mp4_module --with-http_gunzip_module --with-http_gzip_static_module --with-http_random_index_module --with-http_secure_link_module --with-http_stub_status_module --with-http_auth_request_module --with-http_xslt_module=dynamic --with-http_image_filter_module=dynamic --with-http_geoip_module=dynamic --with-http_perl_module=dynamic --add-dynamic-module=njs-1c50334fbea6/nginx --with-threads --with-stream --with-stream_ssl_module --with-http_slice_module --with-mail --with-mail_ssl_module --with-file-aio --with-ipv6 --with-http_v2_module --with-cc-opt='-O2 -g -pipe -Wall -Wp,-D_FORTIFY_SOURCE=2 -fexceptions -fstack-protector --param=ssp-buffer-size=4 -m64 -mtune=generic'

Написано более трёх лет назад

Ваш ответ на вопрос

Войдите, чтобы написать ответ

Похожие вопросы

Nginx

+2 ещё

Простой
Как победить CORS?
- 1 подписчик
- 12 часов назад
- 75 просмотров
0

ответов
CentOS

+1 ещё

Средний
Как починить архив borgbackup с ошибкой archive authentication did not verify?
- 2 подписчика
- 12 часов назад
- 17 просмотров
0

ответов
CentOS

+1 ещё

Средний
В чем может быть причина ошибки 'rpm error' в CentOS 9 при установке bitrix-env-9.sh?
- 1 подписчик
- 12 часов назад
- 14 просмотров
0

ответов
Веб-разработка

+2 ещё

Средний
Почему не подтягиваются изменения стилей для https?
- 1 подписчик
- 16 часов назад
- 77 просмотров
1

ответ
Цифровые сертификаты

Простой
Что не так с запросом сертификата Let's encrypt?
- 1 подписчик
- 20 нояб.
- 173 просмотра
1

ответ
Nginx

+1 ещё

Сложный
Как настроить HTTPS прокси сервер на одном IP, что backend сервера видели IP клиента?
- 1 подписчик
- 20 нояб.
- 112 просмотров
4

ответа
Системное администрирование

+1 ещё

Простой
Кто блокирует сертификат и что делать?
- 2 подписчика
- 20 нояб.
- 2111 просмотров
6

ответов
MySQL

+2 ещё

Средний
Почему падает соединение с mysql за nginx?
- 2 подписчика
- 19 нояб.
- 173 просмотра
0

ответов
VPN

+1 ещё

Простой
Как продлить сертификат панели 3X-UI?
- 1 подписчик
- 19 нояб.
- 354 просмотра
2

ответа
Nginx

+2 ещё

Простой
Reverse proxy и Mikrotik, как запустить?
- 1 подписчик
- 18 нояб.
- 217 просмотров
1

ответ
Показать ещё Загружается…

Прикладной администратор SberApps

Сбер • Москва

от 230 000 ₽

Go Developer

Karma8

До 600 000 ₽

Devops (Персона)

Сбер • Москва

от 230 000 ₽

Выложить 75 курсов на геткурс и настроить базовые функции

26 нояб. 2024, в 02:18

15000 руб./за проект

Редизайн и доработка интернет магазина на wordPress

25 нояб. 2024, в 23:42

50000 руб./за проект

Разработка мобильного приложения с дополненной реальностью (AR)

25 нояб. 2024, в 23:32

200000 руб./за проект

укажи версии браузеров и сервера
sim3x: Не думаю, что дело в версии браузеров, но вот:
Firefox 46.0 (вывод ошибки одинаковый во всех браузерах)
Nginx 1.10.0
CentOS release 6.7 (Final)
Apache/2.2.31

Answer 1 · 2016-05-03 18:35:42

Для начала приложить к вопросу конфиги, телепаты в отпуске.

Если nginx 1.9 и выше, там появилась опция -T, позволяющая вывести итоговый конфиг, собранный со всех include. Можно посмотреть, какой конфиг получается в итоге для соотв. домена.

Answer 2 · 2016-05-04 09:46:29

nginx -V

В выводе должно быть
TLS SNI support enabled

Если нету, то будет использоваться первый попавшийся сертификат.

nginx.org/ru/docs/http/configuring_https_servers.html

Путаются сертификаты между доменами в NGINX, что делать?

Войдите, чтобы написать ответ

Минуточку внимания

Войдите на сайт