web-dev-qa-db-ja.com

仮想ホストごとのnginx ssl構成

Nginxサーバーで単一のホストから複数の仮想ホストに構成を切り替えています。私の変更まで、sslは正しく機能していましたが、それぞれが一意のドメイン名と、その結果として異なる証明書を持ついくつかの仮想ホストを追加した後、sslは機能しません。

私の元の構成は:

# fragment of nginx.conf file
http {
    # ...
    ssl_certificate_key /path/to/privkey.pem;
    ssl_certificate     /path/to/fullchain.pem;
    ssl_dhparam         /path/to/dhparam;
    # ...
}

したがって、これはnginxサーバー用の単一の証明書です。

いくつかの仮想ホストを追加した後、ドメイン用に独自の正しい証明書を提示してほしい。そのため、メインのnginx.confファイルからすべてのssl関連のパラメーターを削除し、それらを次のような仮想ホストファイルに追加しました。

# fragment of sites-enabled/my.server.com file
server {
   listen 443 ssl;
   root "/var/www/my.server.com/";
   server_name my.server.com www.my.server.com;
   location / {
       try_files $uri $uri/ /index.html;

   }
   ssl_certificate_key /path/to/my/server/com/privkey.pem;
   ssl_certificate     /path/to/my/server/com/fullchain.pem;
   ssl_dhparam         /path/to/my/server/com/dhparam;
}

Nginxをリロードした後、これらの仮想ホストに接続できません。

# curl https://my.server.com 
curl: (35) gnutls_handshake() failed: The TLS connection was non-properly terminated.

# openssl s_client -connect my.server.com:443
CONNECTED(00000003) 140524682454680:error:140790E5:SSL routines:ssl23_write:ssl handshake failure:s23_lib.c:177:
--- no peer certificate available
--- No client certificate CA names sent
--- SSL handshake has read 0 bytes and written 305 bytes
--- New, (NONE), Cipher is (NONE) Secure Renegotiation IS NOT supported Compression: NONE Expansion: NONE No ALPN negotiated SSL-Session:
    Protocol  : TLSv1.2
    Cipher    : 0000
    Session-ID: 
    Session-ID-ctx: 
    Master-Key: 
    Key-Arg   : None
    PSK identity: None
    PSK identity hint: None
    SRP username: None
    Start Time: 1488541876
    Timeout   : 300 (sec)
    Verify return code: 0 (ok)
---

私にとっては、nginxが証明書ファイルを見つけられない/読み取れないように見えますが、パスは仮想ホストなしの構成の場合とまったく同じであるため、そうではありません。

/var/logs/nginx/error.logを確認した後、次の行も見つかりました。

*39 no "ssl_certificate" is defined in server listening on SSL port while SSL handshaking

私はそれが本当に小さくて私が見逃しているものの愚かであると確信しています。誰かが私が間違っていることを見ることができますか?

2

443ポートにバインドされ、sslが正しく構成されていない有効な仮想ホストが少なくとも1つあることがわかりました(ssl_certificate_keyssl_certificateパラメータが不足していました)。

理由はわかりませんが、nginxはこれについて文句を言わず、代わりに他の仮想ホストが壊れていました。

5