Как правильно настроить nginx для нескольких сайтов с SSL на одном ip?

Question

[Araik]

Добрый день, подскажите как правильно настроить Nginx, при следующем:
Одна www директория для всех сайтов т.е. все сайты работают с одной CMS расположенной в var/www/html
Много доменов - на данный момент около 10, потенциально десятки-сотни.
Домены могут быть как с SSL, так и без.

1. Можно ли как-то динамически подхватывать сертификаты при наличии их в определенном каталоге или для каждого домена нужно отдельно прописать?
   
2. Может быть можно как-то сделать, чтобы конфигурационный файл не был таким огромным инклудить настройки из определенной папки в которой складывать настройки для доменов?
   
3. Может быть можно как-то настроить так, что при добавлении сайта(домена) не нужно было править конфиг файл?
   

Ubuntu 18.04
Nginx version: nginx/1.14.0 (Ubuntu)
built with OpenSSL 1.1.1 11 Sep 2018
TLS SNI support enabled

Вот так сейчас выглядит конфиг:

server {
        listen 80 default_server;
        listen [::]:80 default_server;
        server_name _;

        # SSL configuration
        listen 443 ssl default_server;
        listen [::]:443 ssl default_server;
        server_name _;

        set $sathost $host;
        if ($host~^(www\.)?(.+)$) {
                set $sathost $2;
        }

        ssl_certificate /var/crt/$sathost/certificate.crt;
        ssl_certificate_key /var/crt/$host/certificate.key;
        ssl_session_cache shared:SSL:10m;
        ssl_session_timeout 10m;

        keepalive_timeout 60;
        add_header Strict-Transport-Security 'max-age=604800';
        root /var/www/html;
        index index.php index.html index.htm index.nginx-debian.html;
        location / {
                try_files $uri $uri/ =404;
        }
        location ~ \.php$ {
                include snippets/fastcgi-php.conf;
                fastcgi_pass unix:/var/run/php/php7.2-fpm.sock;
                fastcgi_param HTTPS on;
        }

        location ~ /\.ht {
                deny all;
        }
}

ни $sathost, ни $host, ни $server_name в пути до сертификатов не работают и выдают ошибку:

nginx: [emerg] SSL_CTX_use_PrivateKey_file("/var/crt/$host/certificate.key") failed (SSL: error:02001002:system library:fopen:No such file or directory:fopen('/var/crt/$host/certificate.key','r') error:20074002:BIO routines:file_ctrl:system lib error:140B0002:SSL routines:SSL_CTX_use_PrivateKey_file:system lib)
nginx: configuration file /etc/nginx/nginx.conf test failed

UPDATE

Вы не можете использовать переменные в каждой директиве. ssl_certificate рассматривается как буквальная строка и является одной из многих директив, где переменные не поддерживаются.

Собственно, похоже такое решение не работает.

Answer 1

[NillR]

> Может быть можно как-то настроить так, что при добавлении сайта(домена) не нужно было править конфиг файл?

Есть форк nginx'а OpenResty, с добавлением некоторых фич, для него помнится даже был lua-resty-auto-ssl, который при первом обращении к домену резво сам бежал за сертификатом и его генерил. Было полезно до того, как LE стали выдавать wildcard.
Сейчас же проще сделать wildcard'ы для всех своих доменов второго уровня и использовать их на всех доменах третьего.

> Ubuntu 18.02

Так не бывает. Ubuntu бывает .04 и .10, однажды(в 2006 году) была .06

> Nginx version: nginx/1.14.0 (Ubuntu)

Рекомендуется использовать либо текущий stable, либо даже текущий mainline. Есть репозиторий от разработчиков. В дистрибутиве идет старый. Но это так, скорее просто совет

Comments

[Araik]

Сейчас же проще сделать wildcard'ы для всех своих доменов второго уровня и использовать их на всех доменах третьего.

Дело в том, что у меня много доменов второго уровня. По сути потребность возникла когда решил CMS распространять под SaaS модели (подписка) и использовать 1 экземпляр приложения вместо копии отдельно для каждого клиента. Соответственно, у клиентов должна быть возможность привязать свой домен, вместо использования домена третьего уровня, отсюда и потребность.

Так не бывает. Ubuntu бывает .04 и .10, однажды(в 2006 году) была .06

Опечатка разумеется.

Благодарю за советы!

[NillR]

Ну с таким раскладом рекомендую посмотреть накладывается ли lua-resty-auto-ssl на нынешний OpenResty и может на него перейти, благо это форк nginx'а с чуть большими возможностями.
Вообще, мне кажется, что еще что-то умело на лету получать сертификаты, но не могу сходу вспомнить.
А lua-resty-auto-ssl я какое-то время сам использовал, потому про него написал.

У него один недостаток, что при первом обращении к домену он отвечает несколько секунд, потому что в это время получает сертификат. Но так как это один раз для каждого нового домена, то не страшно

Answer 2

[Mysterion]

1) Можно. Но лучше прописывать статически путь до каждого сертификата для каждого домена. Можно использовать переменную $server_name в пути до сертификата. Но если сертификата там не окажется, nginx не стартанет.
2) Можно.
3) Можно. Можно сделать хост дефолтным и тогда все домены, которые не были добавлены в server, будут смотреть туда, куда ведет дефолтный хост. То есть так, будто обратились по IP. Но тогда не будет работать SSL для них. Хотя, можно попробовать подхватывать динамически, см. п. 1.

Сделайте один wildcard сертификат для всех доменов. 100 доменов на один сертификат можно в LetsEncrypt повесить и если купить платный, то штук 240.

Comments

[Araik]

при использовании $server_name выдает ошибку:

nginx: [emerg] BIO_new_file("/var/crt/$server_name/certificate.crt") failed (SSL: error:02001002:system library:fopen:No such file or directory:fopen('/var/crt/$server_name/certificate.crt','r') error:2006D080:BIO routines:BIO_new_file:no such file)
nginx: configuration file /etc/nginx/nginx.conf test failed

Полагаю, прежде чем использовать переменную, ее нужно получить как-то, но как?

Пробовал и вот так:

server_name _;  # хитрый ключик, обозначающий, что этот конфиг применим для любого сайта

	set $sathost $host;  # В sathost будет лежать имя сайта. Так же должна называться директрия с сайтом
	# убираем www
	if ( $host ~ ^(www\.)?(.+)$ ) {
		set $sathost $2;
	}

 ssl_certificate /var/crt/$sathost/certificate.crt;

Но результат тот же

UPDATE
Переменные в пути до сертификата использовать нельзя.

Answer 3

[Виктор Таран]

1. самый логичный вариант поставить vtstacp ispconfig3 braynicp bitrix-vm на выбор и генерировать сертификаты в веб морде при создание сайта.
2. поскольку сайт один а остальные сайты по факту alias то и генерировать их как alias
-d syte.ru -d ya.ru -d vk.ru ...
собственно сертификаты и будут выдаваться для каждого нового сайта.
Можно на краяняк сделать скрипт который бы смотрел имена сайтов наличие А записи ведущей на этот сервер и запускал генерацию, недавно как-раз такой делал.
как-раз для многосайтовости ;)