Можно ли настроить nginx чтобы он использовал сертификат с другого сервера?

Question

[Николай Савельев]

Тестирую одну штуку, написанную на node.js.
У нее встроен функционал cerbot от letsencrypt. Проблема в том, что к виртуалке на котором я все это запускаю нет прямого доступа из интернета, только через реверс прокси nginx. Можно ли настроить nginx таким образом, чтобы он просто высовывал наружу уже имеющийся в приложении сертификат, а сам ничего не шифровал?
При этом на прокси уже висят другие сайты со своими сертификатами.
Мои знания говорят что невозможно, но мало ли...

Comments

[fdroid]

А не проще ли в "штуке" отключить функционал Certbot и пусть всем рулит nginx-прокси как обычно в паре с собственным Certbot?

[Антон Соломонов]

Определенно проще, но вопрос в другом.

[Николай Савельев]

fdroid, разумеется, проще. Сто раз так делал в других случаях. Но вопрос, как Антон заметил, в другом.

Answer 1

[Антон Соломонов]

Нет. Это уже получится MITM (Man in the Middle).
Собственно помимо шифрования, сертификаты нужны чтобы это предотвратить.
Скорее всего вы сможете спроксировать через stream'ы. Это простое перенаправление tcp трафика, но оно не совместимо с вашим вариантом с кучей сайтов на хосте.

Comments

[Lynn «Кофеман»]

Почему же, совместимо. Просто сайты придётся перевесить на другой адрес/порт и стримить в них тоже

[Николай Савельев]

Lynn «Кофеман», в каком смысле перевесить? Белый ip всего один.

[Lynn «Кофеман»]

Николай Савельев, перевесить на 127.0.0.1. Белый адрес будет слушать только блок со стримом и выполнять проксирование в зависимости от запрошенного сайта. См пример в документации nginx.org/ru/docs/stream/ngx_stream_ssl_preread_mo...

[Антон Соломонов]

Lynn «Кофеман», решение конечно прикольное, но не кажется ли вам что оно совсем не рационально в контексте данной задачи? Начиная от использования модуля которого по дефолту нет в nginx, до двойного проксирования трафика для остальных сайтов?

[Lynn «Кофеман»]

Антон Соломонов, ну второе проксирование в рамках localhost, обычно это ни на что не влияет. А модуль в debian/ubuntu обычно собран (про другие дистрибутивы не знаю), а на «по умолчанию не собирается» вообще не смотрю. Это же просто означает, что соответствующий флаг при сборке надо ставить явно, что дистрописатели обычно делают для какой-нибудь сборки nginx-extras

[Николай Савельев]

Lynn «Кофеман», м-да... На существующем nginx гораздо проще настроить получение еще одного сертификата.

Answer 2

[Alexey Dmitriev]

Создайте virtualhost с нужным вам именем на nginx, скопируйте на сервер сертификат с вашей "штуки", прикрутив его к nginx, и проксируйте с nginx запросы на вашу штуку - хоть по https, хоть по http

Comments

[Николай Савельев]

А кода штука certrenew сделает автоматически, то как быть?

[vreitech]

Николай Савельев, забрать с этой штуки по SCP сертификат с ключом, положить его на место устаревших, сделать nginx'у reload.

[Николай Савельев]

vreitech, тогда зачем серт в этой штуке получать, если все равно nginx отдавать? Проще на нем сразу делать.

[vreitech]

Николай Савельев, если вам проще делать сразу на нём - делайте на нём.
а в этой штуке получать для тех, кому на нём не проще.

[Alexey Dmitriev]

Николай Савельев, certbot позволяет вызывать дополнительные скрипты в процессе своей работы. Можно добавить скрипт, который скопирует сертификат после его обновления-куда вам нужно и сделает service nginx reload.
Но как уже сказали - проще перенести certbot на сервер с nginx proxy

Answer 3

[CityCat4]

Сертификат от другого сервера (другого имени) можно использовать, если дать своему серверу такое же имя и иметь у себя личный ключ данного сертификата. Сертификат - это в полном смысле сертификат, который выдан на данное имя и подтверждает авторитетом выдавшего его CA (в случае с LE я бы поостерегся) что это действительно тот сайт, за который он себя выдает.