Сертификат для проксирующего nginx?

Question

[Артем Кайбагоров]

Приветствую! Подскажите, я правильно понял, что если запросы к моему домену и всем поддоменам проксируются машиной с nginx, то в этом случае для того чтобы использовать https соединение с моим доменом и доменами третьего уровня сертификат нужно установить на машину с nginx?

Если так, то как настроить конфиг nginx?
Типо nginx слушает 443 порт, определенные имена, а проксирует на 80?

Answer 1

[roswell]

Всё верно. Посетитель <-> Nginx+SSL:443 <-> Apache_(или_что_там_ещё):80 .

Comments

[Артем Кайбагоров]

А если один из доменов использует свой самоподписный сертификат, который нет возможности удалить, как на него проксировать запрос?

[roswell]

Артем Пирожков: что значит "нет возможности удалить"?

[Артем Кайбагоров]

Если упростить, то к машине нет доступа

[roswell]

Артем Пирожков: если это проксируемая машинка, достаточно просто добавить исключение на валидацию сертификата

[ky0]

Артем Пирожков: Нгинкс легко проксирует и невалидный HTTPS, подменяя сертификат на свой.

[Артем Кайбагоров]

Спасибо за ответы, все сделал, но возникла другая проблема, теперь невозможно установить незащищенное соединение ни c одним из доменов. Т.е. я планировал только до 2 сайтов сделать https, а для остальных оставить http, но при попытке зайти на сайт, который я не добавлял в сертификат по http, браузер меня не пускает. Есть мысли по этому поводу?

[roswell]

Артем Пирожков: святой отец, вы или штаны наденьте, или крестик снимите. В свете новых требований и проблем совершенно стало непонятно, чего вы хотите в итоге добиться )

[Артем Кайбагоров]

roswell: домены третьего уровня используются для разработки и постоянно добавляются/удаляются, т.о. чтобы они работали мне нужно будет каждый раз добавлять домен в сертификат, но наверняка есть способ решить проблему проще.

[roswell]

Артем Пирожков: есть. Гуглите на предмет тегов #ssl #wildcard #domain

[Артем Кайбагоров]

Всем спасибо, решил что проще для разработки просто использовать другое доменное имя.