Как сделать переадресацию в nginx c www?

Question

[lapka-admin]

Почитал вопрос https://toster.ru/q/477930
Вроде всё правильно сделано, только он там глобальный конфиг правит, а я локальный для конкретного юзера и домена. Правлю файл home/user/conf/web/snginx.conf
Сделал так:

Переадресации с http (с www и без www) работают
Прямой запрос https (без www) работает
И только вариант https://www.domain.ru не работает и говорит Your connection is not secure. The owner of www.domain.ru has configured their website improperly.

Вероятно проверка сертификата для этого домена, происходит ДО редиректа, отсюда ошибка и до редиректа дело не доходит, но как правильно сделать не могу понять.

Comments

[Lynn «Кофеман»]

Именно так. Проверка сертификата ВСЕГДА происходит до редиректа. Так что вам нужен ещё один сертификат

[lapka-admin]

Алексей Тен, да ладно? Вот это треш ))

[Arman]

lapka-admin, если от letsencrypt то там в любой момент можно добавить поддомены

[lapka-admin]

Arik, да от него, но я чё-т не в курсе как там поддомены добавить пока

[Arman]

lapka-admin, просто перечислить

certbot certonly -d example.com -d www.example.com -d shop.example.com

тут все писали https://habrahabr.ru/post/318952/ если с офф документацией проблемы

[Lynn «Кофеман»]

lapka-admin, это не треш. Иначе в https не будет никакого смысла.

Answer 1

[Михаил Григорьев]

Все просто, делаете несколько server { } под нужный домен и настраиваете там 301 куда нужно.

# с http://nene.ru -> 301 на https://nene.ru
server {
        listen 242.24.144.84:80;
        server_name nene.ru;
        return 301 https://nene.ru$request_uri;
}

# с http://www.nene.ru -> 301 на https://nene.ru
server {
        listen 242.24.144.84:80;
        server_name www.nene.ru;
        return 301 https://nene.ru$request_uri;
}

# с https://www.nene.ru -> 301 на https://nene.ru
server {
        listen 242.24.144.84:443 http2 ssl;
        server_name www.nene.ru;
        ssl_protocols TLSv1 TLSv1.1 TLSv1.2;
        ssl_certificate /etc/letsencrypt/live/nene.ru/fullchain.pem;
        ssl_certificate_key /etc/letsencrypt/live/nene.ru/privkey.pem;
        ...
        return 301 https://nene.ru$request_uri;
}

# Сам сайт https://nene.ru
server {
        listen 242.24.144.84:443 http2 ssl;
        server_name nene.ru;
        ssl_protocols TLSv1 TLSv1.1 TLSv1.2;
        ssl_certificate /etc/letsencrypt/live/nene.ru/fullchain.pem;
        ssl_certificate_key /etc/letsencrypt/live/nene.ru/privkey.pem;
        ...
        ...
        ...
}

Comments

[Wexter]

server_name www.nene.ru;
ssl_protocols TLSv1 TLSv1.1 TLSv1.2;
ssl_certificate /etc/letsencrypt/live/nene.ru/fullchain.pem;
ssl_certificate_key /etc/letsencrypt/live/nene.ru/privkey.pem;

и пользователь получит ошибку сертификата, ибо он от другого домена :)

[Михаил Григорьев]

Wexter, с чего вдруг если в сертификате /etc/letsencrypt/live/nene.ru/fullchain.pem есть SAN на нужный поддомен, к примеру вывод

openssl x509 -in /etc/letsencrypt/live/nene.ru/fullchain.pem -noout -text -purpose

говорит в поле

X509v3 Subject Alternative Name:
                DNS:nene.ru, DNS:www.nene.ru

то использование

server_name www.nene.ru;
ssl_protocols TLSv1 TLSv1.1 TLSv1.2;
ssl_certificate /etc/letsencrypt/live/nene.ru/fullchain.pem;
ssl_certificate_key /etc/letsencrypt/live/nene.ru/privkey.pem;

не будет давать ошибку в браузере