Форум Сайтостроение Администрирование серверов

2 и более сертификата на 1 IP

D
На сайте с 28.06.2008
Offline
1101
Dram
1503

Продолжаю переводить сайты на ssl, очередная проблема - не корректная работа если на одном IP установлено 2 и более сертификатов.

Наиболее верное решение брать под каждый проект свой IP ?

obius
На сайте с 19.08.2015
Offline
56
obius
#1

У меня 4 сайта на 1 ip и все под ssl. Ни каких проблем.

конфиг Nginx для каждого хоста в секции server:


ssl_certificate /etc/letsencrypt/live/host1/fullchain.pem;
  ssl_certificate_key /etc/letsencrypt/live/host1/privkey.pem;

	ssl_protocols TLSv1 TLSv1.1 TLSv1.2;
  ssl_prefer_server_ciphers on;
  ssl_dhparam /etc/ssl/certs/dhparam.pem;
  ssl_ciphers 'ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:DHE-DSS-AES128-GCM-SHA256:kEDH+AESGCM:ECDHE-RSA-AES128-SHA256:ECDHE-ECDSA-AES128-SHA256:ECDHE-RSA-AES128-SHA:ECDHE-ECDSA-AES128-SHA:ECDHE-RSA-AES256-SHA384:ECDHE-ECDSA-AES256-SHA384:ECDHE-RSA-AES256-SHA:ECDHE-ECDSA-AES256-SHA:DHE-RSA-AES128-SHA256:DHE-RSA-AES128-SHA:DHE-DSS-AES128-SHA256:DHE-RSA-AES256-SHA256:DHE-DSS-AES256-SHA:DHE-RSA-AES256-SHA:AES128-GCM-SHA256:AES256-GCM-SHA384:AES128-SHA256:AES256-SHA256:AES128-SHA:AES256-SHA:AES:CAMELLIA:DES-CBC3-SHA:!aNULL:!eNULL:!EXPORT:!DES:!RC4:!MD5:!PSK:!aECDH:!EDH-DSS-DES-CBC3-SHA:!EDH-RSA-DES-CBC3-SHA:!KRB5-DES-CBC3-SHA';
  ssl_session_timeout 1d;
  ssl_session_cache shared:SSL:50m;
  ssl_stapling on;
  ssl_stapling_verify on;
  add_header Strict-Transport-Security max-age=15768000;
jpg 157032.jpg
D
На сайте с 28.06.2008
Offline
1101
Dram
#2

obius, прошу вас - проверте один из своих сайтов тут https://www.sslshopper.com что выдает?

Нет ли ошибки

No SSL certificates were found on site.ru. Make sure that the name resolves to the correct server and that the SSL port (default is 443) is open on your server's firewall.
obius
На сайте с 19.08.2015
Offline
56
obius
#3
Dram:
obius, прошу вас - проверте один из своих сайтов тут https://www.sslshopper.com что выдает?
Нет ли ошибки

Такая же ошибка. Что то не внушает доверия данный сервис. Что он может тестировать за доли секунды :)

По https://www.ssllabs.com/ssltest/ результат A+.

D
На сайте с 28.06.2008
Offline
1101
Dram
#4

obius, у вас неверно настроены сертификаты, это общеизвестная проблема, погуглите.

Все разобрался. У вас nginx должен поддерживать SNI

$ nginx -V
...
TLS SNI support enabled
...

Далее в папку nginx/sites-available кладетет конфиг нужного сайта

Называете его именем нужного домена.

Делаете симлинк

ln -s /etc/nginx/sites-available/mysite.ru /etc/nginx/sites-enabled/mysite.ru

Вот и все. Перезапускаете нгихс, теперь все работает праивльно,правда старые браузеры не поддерживают SNI

Елена Щербакова
На сайте с 06.05.2016
Offline
62
Елена Щербакова
#5

Каждый отдельно взятый проект для максимальной работы нужно перевести на отдельный IP.

Доступные цены на тексты
D
На сайте с 28.06.2008
Offline
1101
Dram
#6
metelka:
Каждый отдельно взятый проект для максимальной работы нужно перевести на отдельный IP.

Бред, все настроил на одном IP, все летает, проблем нет. Гугл с Яшей живут на сайте и уже все переклеили.

Елена Щербакова
На сайте с 06.05.2016
Offline
62
Елена Щербакова
#7

Видимо на практике это более реально, чем в теории в моей голове) Прошу прощения.

tmatm
На сайте с 22.04.2006
Offline
205
tmatm
#8

SNI (т.е. сертификаты разных сайтов на одном IP) не понимают совсем старые браузеры. Но на таких пользователей можно забить, т.к. с Android 2 или IE6 сейчас уже мало какие сайты в принципе нормально открываются. В здравом уме почти никто не будет пользоваться такими браузерами и ОС.

Optimizator.Ru ( https://optimizator.ru/ ) — регистрация и продление доменов в RU-CENTER и REG.RU: RU, РФ от 123 р.; MSK.RU, SPB.RU и др. 168 р. + REG.RU ( https://reg.optimizator.ru/ ). Освобождающиеся домены от 150 р. ( https://optimizator.ru/backorder/ )

Авторизуйтесь или зарегистрируйтесь, чтобы оставить комментарий